Шифрование через TPM: теперь и в Линуксе

требовала наличия TPM для установки

Обязаловка

полнодисковое шифрование через TPM будет готово

По желанию

Если для тебя нет разницы, то у меня для тебя плохие новости

Вы понимаете разницу между Mandatory и Optional?

Как-то у меня нет доверия TPM, не знаю даже почему.

Как-то у меня нет доверия TPM, не знаю даже почему.

В любом случае, будет использоваться аппаратное ускорение AES, пусть даже центрального процессора. Хотя, возможно, для параноиков сделают вариант без ускорения, тормозной.

Да я не к тому, что кто-то расшифрует. Если у кого и есть бэкдоры/ключи, то только у ЦРУ – это явно не мой уровень. Злоумышленникам и остальным мусорам/фсб это точно недоступно. Просто нет доверия, не нравится мне эта привязка к железу.

У тебя с логикой проблемы. Требовать TPM - плохо. Поддерживать TPM - хорошо.

Ощущения не те? В целом, конечно, да, отвалится тот tpm(например материнку сменишь или просто биос обновить) ну и все, если ключики для восстановления на отдельном носителе не предусмотрят в процессе шифрования. С другой стороны в корп среде шифрование диска давно стандарт. Но им можно было и до этого пользоваться. Ну да два пароля вводить при загрузке, или два раза один и тот же пароль. Избыточно, но не критично. Если опционально, то пусть будет

В целом, конечно, да, отвалится тот tpm(например материнку сменишь или просто биос обновить) ну и все, если ключики для восстановления на отдельном носителе не предусмотрят в процессе шифрования.

Там же fallback в виде пароля можно поставить ЕМНИП.

Ещё одна точка отказа

де факто стандартного дистрибутива Линукса

релизу 25.10

Банить надо за такое 4.2.

А в чём претензия? Что 25.10 не LTS. Да, но это испытательный полигон. Отладят там работу с TPM, и потом перенесут в LTS. Или считаете, что Убунта - не дистр «по умолчанию»?

у меня тпм работает с момента появления драйвера для него и tpm2-tss, но чето не хочу я им пока диск шифровать

Они бы лучше поддержку lvm запили в инталлятор – такое позорище.

Или считаете, что Убунта - не дистр «по умолчанию»?

Ты поразительно недогадлив, эту очевидную истину только в самом конце заметил.

Спасибо Microsoft за то, что хлам без TPM теперь исчезающий вид. 😊

Какой тогда?

По-хорошему дебиан должен быть, но есть фанаты шапки ещё.

Если же смотреть по популярности то убунта там далеко внизу (зайди на главную distrowatch.com например в правой колонке посмотри).

Distrowatch не имеет никакого отношения к популярности дистрибутивов.

Хорошо, где тогда смотреть?

Не знаю. Но точно не там.

Спасибо, так и сделаю.

По совокупности:

1. наличия пакетов с проприетарным софтом;

2. наличия документации от проприетарного софта. Если в документации есть параграф «как это настроить в убунте», то ставим плюс очко убунте.

Ну правильно, конечно, бета-тестером бесплатным быть неохота. Вот апробируют в Убунте, сделают опцией по умолчанию. А там и другие дистры подтянутся.

Так вроде давно можно, если хочется. Только нафига?

Кстати, в любимом некоторыми Линуксоидами Арче уже есть страничка с документацией о TPM:

https://wiki.archlinux.org/title/Trusted_Platform_Module

Просто пока это всё консольные ручные настройки для хакеров. А убунту сделает работу с TPM удобнее.

Этой вашей убунтой пользоваться нельзя без тазика возле стола.

Технически то можно. Вопрос в конкретной реализации в конкретной убунте, ну или не убунте, но новость исходная про убунту

То есть, забыл пароль - потерял все данные с винта? Или я чего то не понял? И отказаться от этого нельзя?

В любом случае, будет использоваться аппаратное ускорение AES, пусть даже центрального процессора.

В смысле это безальтернативно? Только TPM и не имеет?

но чето не хочу я им пока диск шифровать

Только «пока»? И только «им»?

То есть, забыл пароль - потерял все данные с винта?

Ну это вроде к любому шифрованию относится. Не в смысле, что прям все данные с винта, а в смысле если вы забыли необходимое для расшифровки, то зашифрованное должно быть тыквой не только лишь для вас.

ага

так то хомяки у меня везде шифрованные

Ну т.е. потенциально рассматриваете как вариант на будущее?

То есть, забыл пароль - потерял все данные с винта? Или я чего то не понял? И отказаться от этого нельзя?

Чем блин ты читаешь вместо глаз? Хочешь - шифруй как нравится, хочешь, не шифруй.

м быть

Когда TPM пользователь применяет для защиты своих интересов - одно, когда TPM применяют компании для защиты своих интересов от пользователей - плохо.

Требование TPM в винде попадает под второй случай, чтобы МС и поставщики софта могли на него полагаться и хранить ключи в недоступном для пользователя месте.

Типа, каждый раз перед загрузкой компа надо писать е-мейл микрософту, мол «разрешите мне включить мой комп»?

там и другие дистры подтянутся

Это убунта подтягивается. ЕМНИП, поддержка полнодискового шифрования с tpm 2.0 разблокировкой есть в Fedora и openSUSE Tumbleweed с прошлого года. В Arch можно было и раньше, но это конструктор, так что не считается.
Осенью выходит SLE 16 с поддержкой tpm2, tpm 1.x поддерживался и уже давно.
Но в целом, технология загрузки линукса с tpm имеет изъян в виде не защищенного initrd. Нужно ждать переход на подписанный UKI.

Значит, всё наоборот и апробирование прошло в других дистрах. Ну что же, это тоже вариант, в конце концов, для чего-то же нужны эти другие дистры…

Но в целом, технология загрузки линукса с tpm имеет изъян в виде не защищенного initrd.

Что поделать, приходится подстраиваться под эту поделку.

Типа, каждый раз перед загрузкой компа надо писать е-мейл микрософту, мол «разрешите мне включить мой комп»?

Почти что так, у ремонтников уже есть «истории успеха», вернее неуспеха, когда им приносят комп/ноут с Win11 с полетевшим TPM.

Cмысл массового внедрения TPM с самого не в том, чтобы обычный пользователь смог защитить свой комп, а чтобы его могли успешно огородить от пользователя для «защиты» интересов серьезных дядь. DRM и всякая прочая «конфиденциальность» и потеря анонимности, которой и так не особо есть, но чтобы вообще кол забить.

и потеря анонимности

Это-то тут каким боком?

Почти что так, у ремонтников уже есть «истории успеха», вернее неуспеха, когда им приносят комп/ноут с Win11 с полетевшим TPM.

Насколько я понимаю, почти для каждого типа ключей в TPM есть возможность их забекапить. Для битлокера уж точно. Так что вполне может быть так, что те случаи, о которых ты говоришь - обычная халатность пользователей, когда они думали, что всё за них чудесным образом сохранится, а им нужно только нажимать на кнопку «сделать всё».

Это-то тут каким боком?

В наличии уникального идентификатора в чипе. В принципе, конечно есть серийные номера разных устройств, но они не стандартизированы.

Вообще, эта тема насчет безопасности пользователя аналогична как с мобильными телефонами. Там тоже диск за редким исключением зашифрован и сделано это для «безопасности». И даже в какой-то мере действительно безопасности - с залоченного телефона просто так не скопировать данные из его памяти.

Но более важно, что это эти технологии (в том числе и шифрование, хотя не только, т.е., я не говорю что из-за шифрования) в первую очередь используются, чтобы не дать юзеру рута и возможности ставить свою ОС. С некоторых пор даже на занодательном уровне, как в ЕС

Если у кого и есть бэкдоры/ключи, то только у ЦРУ – это явно не мой уровень

Да оттуда тоже течет во все стороны. Понятно, что мы тут нафиг не сдались какому-нибудь анэбэ, но вот криминал, собравший утекшие ключи - вполне себе может заинтересоваться.

Так что вполне может быть так, что те случаи, о которых ты говоришь - обычная халатность пользователей, когда они думали, что всё за них чудесным образом сохранится, а им нужно только нажимать на кнопку «сделать всё».

Ключи иногда даже профессионалы пролюбливают, что уже говорить про обычных пользовтелей, которым это шифрование не особо нужно и которые могли даже не знать или забыть, что у них диск зашифрован. Благодаря TPM пароль они не вводили.

В принципе Microsoft учла этот фактор и ключи бекапятся в аккаунт MS, к которому тоже можно потерять доступ или еще что, не говоря о том, что безопасность такой себе получается, если данные у дяди хранить.

И даже в какой-то мере действительно безопасности - с залоченного телефона просто так не скопировать данные из его памяти.

Последнее, что мне нужно - чтобы какой-то Васян мог «просто скопировать данные из памяти моего телефона»…

Просто не может, а непросто есть варианты в обычных сервисах, не 100%-е, но есть.

Проблема в том, что ты тоже не можешь получить доступ, если мобила сломается, если же шифрование выполнялось бы чем-то не огороженным от юзера, вроде luks или truecrypt этой проблемы не было бы.

если же шифрование выполнялось бы чем-то не огороженным от юзера, вроде luks или truecrypt этой проблемы не было бы.

Хочешь сказать, что LUKS и truecrypt - иллюзия защиты?

красноглазикам

методичку

Рекомендую душ таки принимать ежедневно. Неприятно, когда от людей воняет даже через интернет.

В андроиде тот же luks, точнее был раньше, сейчас там вроде что-то другое. Проблема в том, что ключ там сложноизвлекаемый, и нельзя добавить резервный ключ для расшифровки. Доя извлечения ключа нужна рабочая система с рутом, емнип.