Systemd 首席开发者 Lennart Poettering 一篇关于 的文章Linux 上认证启动和磁盘加密的长篇博文说,尽管 Linux 完全加密(Full Disk Encryption,FDE)、UEFI SecureBoot 和可信平台模块(Trusted Platform Module,TPM)等待技术的支持已着悠久的历史。
“然而,大多数发行版本并不像他们应该设置的那样安全,在某些方面可以说是相当坦率的。事实上,如果您的数据存储在当前 ChromeOS、Android、Windows 或 MacOS 在设备上,可能比存储在一些典型的 Linux 发行版更安全。”
通用 根据介绍Linux 发行版(即 Debian、Fedora、Ubuntu......) 15年前全面加密和 LUKS/cryptsetup 基础结构;Lennart 认为这是向更安全的环境迈出的一大步。近十年前,大型发行版开始使用 UEFI SecureBoot 添加到其指导过程中。
可信平台模块(TPM)的支持也在很久以前就被添加到了发行版中。但即使现在许多电脑上都内置了 TPM 芯片一般不在通用 Linux 在默认设置中使用发行版。“目前这些技术如何通用 Linux 发行版的组合对我来说意义不大——而且它们实际上无法提供效果。”
Lennart 在博客中总结了当前的技术、手头的问题,以及需要改进的地方,以提高认证和提供更好的安全性。
如 Phoronix 为了更好地提高安全性,还有一些 Linux 内核 pr 在等 systemd 处理,所以这项工作仍然需要时间推进上游;但这也将取决于 Linux 发行商是否也使用了这些功能。
详情请参阅博客文章。
本文转自OSCHINA
本文标题:Systemd 首席开发人员:Linux 磁盘加密和认证启动安全不足
本文地址:https://www.oschina.net/news/161639/authenticated-boot-disk-encryption-on-linux