В Ubuntu появится поддержка полнодискового шифрования, использующего TPM
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
Компания Canonical анонсировала появление в осеннем выпуске Ubuntu 23.10 экспериментальной поддержки шифрования дисков, не требующего ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module). Автоматическая разблокировка зашифрованного диска в привязке к аппаратному обеспечению и верифицированной загрузке упрощает внедрение шифрования дисков в корпоративных и совместно используемых системах, а также на удалённых серверах, на которых нет возможности после каждой перезагрузки вручную вводить пароль.
От ранее предлагавшейся в Ubuntu поддержки полнодискового шифрования, реализация на базе TPM отличается использованием архитектуры, задействованной в проекте Ubuntu Core. В инсталляторе предоставлена возможность выбора старого режима полнодискового шифрования, требующего ввода пароля, и нового режима, хранящего данные для расшифровки ключей в TPM. При выборе нового режима, загрузчик GRUB и ядро Linux поставляются в пакетах в формате snap, а управление шифрованием диска осуществляется при помощи специального агента в Snapd (при выборе старого режима GRUB и ядро устанавливаются из традиционных deb-пакетов).
В новой реализации полнодискового шифрования вместо автоматической генерации конфигурации загрузчика на локальной системе, логика выбора режима загрузки и ядра в GRUB задаётся в заранее определённой дистрибутивом конфигурации, передаваемой Snapd. Ядро Linux оформлено в виде унифицированного образа ядра UKI (Unified Kernel Image), объединяющего обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ скомпонован в виде одного исполняемого файла в формате PE и заверен цифровой подписью. При вызове данного образа из UEFI обеспечивается проверка целостности и достоверности ядра и содержимого initrd как единого целого. Помимо ядра и загрузчика все остальные компоненты системного окружения остаются как в классическом Ubuntu.
Доступ к хранимым в TPM параметрам расшифровки осуществляется на стадии ранней загрузки и только из специально авторизированного образа initrd, заверенного цифровой подписью дистрибутива. Утверждается, что задействованная схема уже два года применяется в Ubuntu Core и обеспечивает должную защиту данных в случае кражи устройства или совершения атак на оставленное без присмотра оборудование. Возможность загрузки только верифицированного системного окружения достигается через применение UEFI Secure Boot. В случае внесения изменений в начальный загрузочный UKI-образ и нарушения цепочки верифицированной загрузки, TPM не позволит получить доступ к ключу, применяемому для расшифровки.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://canonical.com//blog/tp...)
- OpenNews: Обход шифрования диска в Linux через непрерывное нажатие клавиши Enter
- OpenNews: Уязвимости в эталонной реализации TPM 2.0, позволяющие получить доступ к данным в крипточипе
- OpenNews: Релиз VeraCrypt 1.25.4, форка TrueCrypt
- OpenNews: Компания Cloudflare подготовила патчи, кардинально ускоряющие дисковое шифрование в Linux
- OpenNews: Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске
Похожие новости:
- AMD опубликовал код прошивки для механизма защиты SEV (Secure Encrypted Virtualization)
- Опубликованы ближайшие планы развития Ubuntu Desktop
- Для Debian и Ubuntu создан репозиторий со свежими версиями ядра Linux
- Прогресс в продвижении нового менеджера приложений Ubuntu Store
- В Chrome 116 добавлен механизм инкапсуляции ключей, устойчивый к подбору на квантовых компьютерах
- Выпуск Ubuntu 22.04.3 LTS c обновлением графического стека и ядра Linux
- Применение в Ubuntu своих патчей к OverlayFS привело к появлению уязвимостей
- Доступна Real-time редакция Ubuntu, оптимизированная для процессоров Intel Core
- Протокол сквозного шифрования MLS получил статус предложенного стандарта
- Выпуск криптографической библиотеки Botan 3.1.0
Теги для поиска: #_ubuntu, #_disk, #_crypt
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 00:07
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
|
Компания Canonical анонсировала появление в осеннем выпуске Ubuntu 23.10 экспериментальной поддержки шифрования дисков, не требующего ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module). Автоматическая разблокировка зашифрованного диска в привязке к аппаратному обеспечению и верифицированной загрузке упрощает внедрение шифрования дисков в корпоративных и совместно используемых системах, а также на удалённых серверах, на которых нет возможности после каждой перезагрузки вручную вводить пароль. От ранее предлагавшейся в Ubuntu поддержки полнодискового шифрования, реализация на базе TPM отличается использованием архитектуры, задействованной в проекте Ubuntu Core. В инсталляторе предоставлена возможность выбора старого режима полнодискового шифрования, требующего ввода пароля, и нового режима, хранящего данные для расшифровки ключей в TPM. При выборе нового режима, загрузчик GRUB и ядро Linux поставляются в пакетах в формате snap, а управление шифрованием диска осуществляется при помощи специального агента в Snapd (при выборе старого режима GRUB и ядро устанавливаются из традиционных deb-пакетов). В новой реализации полнодискового шифрования вместо автоматической генерации конфигурации загрузчика на локальной системе, логика выбора режима загрузки и ядра в GRUB задаётся в заранее определённой дистрибутивом конфигурации, передаваемой Snapd. Ядро Linux оформлено в виде унифицированного образа ядра UKI (Unified Kernel Image), объединяющего обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ скомпонован в виде одного исполняемого файла в формате PE и заверен цифровой подписью. При вызове данного образа из UEFI обеспечивается проверка целостности и достоверности ядра и содержимого initrd как единого целого. Помимо ядра и загрузчика все остальные компоненты системного окружения остаются как в классическом Ubuntu. Доступ к хранимым в TPM параметрам расшифровки осуществляется на стадии ранней загрузки и только из специально авторизированного образа initrd, заверенного цифровой подписью дистрибутива. Утверждается, что задействованная схема уже два года применяется в Ubuntu Core и обеспечивает должную защиту данных в случае кражи устройства или совершения атак на оставленное без присмотра оборудование. Возможность загрузки только верифицированного системного окружения достигается через применение UEFI Secure Boot. В случае внесения изменений в начальный загрузочный UKI-образ и нарушения цепочки верифицированной загрузки, TPM не позволит получить доступ к ключу, применяемому для расшифровки. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 00:07
Часовой пояс: UTC + 5