Canonical: TPM-gestützte Vollverschlüsselung für Ubuntu 25.10

    Moin Moin!

    Quicky‑News:

    Ubuntu 25.10 plant eine voll integrierte TPM-basierte Full‑Disk Encryption, die Schlüssel direkt im Trusted Platform Module (TPM) verwahrt. Das neue Verfahren soll automatische Boot-Entsperrung ermöglichen und gleichzeitig den Schutz der Daten beim Systemstart erhöhen. Das Ziel: eine benutzerfreundliche, hardwaregestützte Verschlüsselung ohne zusätzliche Konfiguration durch den Nutzer.

    Achtung: Derzeit ist diese Funktion aber noch experimentell.

    (Adblocker aktiviert?)

    Mehr Info auf Deutsch:

    mfg: evilware666

    Das ist der wichtigste Schritt für ein "Out-of-the-Box" Trusted Boot Setup. Und endlich ein Punkt wo Desktop-Linux im Sicherheitsbereich gerade im Vergleich zu Windows und MacOS nachzieht.

    Interessant! Ich glaube auch, daß das ein guter Schritt in die richtige Richtung ist und würde mich freuen, wenn das Schule macht.

    Quote from zeltinho

    Ich fürchte, weil's Canonical vormacht, werden es viele FOSS-Evangelisten für Teufelswerk halten. :D

    Ich glaube, viel mehr werden sich viele darüber aufregen, weil sie Secure Boot und TPM et cetera immer noch für üble Machenschaften von Microsoft halten, um z.B. Linux-Nutzern das Leben unnötig schwer zu machen. Natürlich haben diese Techniken ihre Vor- und Nachteile und jeder und jede muß selbst entscheiden (können), ob er oder sie diese nutzen möchte. Aber ich finde es gut, wenn wir die Option haben; und daß eine so große Distribution hier den ersten Schritt macht, die Option gleich in den Installationsprozeß einzubauen, finde ich wie gesagt, ist eine gute Sache.

    Nach meinem Verständnis ist der Begriff "hardwaregestützte Verschlüsselung" irreführend. Die Systempartition wird bei diesem Verfahren nach wie vor mit LUKS verschlüsselt. Lediglich der Entschlüsselungs-Key wird im TPM-Chip gespeichert, so dass beim Booten keine Passwort-Eingabe mehr nötig ist. Das hat für mich zwei Vorteile:

    • Bequemlichkeit, weil man sich in der Regel die Passwort-Eingabe beim Booten spart
    • Manipulationen in der Bootkette können erkannt werden: Sobald jemand oder ein Update etwas an der Bootkonfiguration geändert hat, ist die Secure-Boot-Kette unterbrochen und man muss das LUKS-Passwort beim Booten eingeben. Auch wenn jemand versucht hat, von einem USB-Stick zu booten, müsste ich danach das Bootpasswort neu eingeben.

    Das Feature an sich ist nicht neu, ich setze es seit 2 Jahren in Fedora Silverblue auf meinem Mini-PC ein. Es lässt ich mit zwei Kommando-Zeilen aktivieren (wenn man das Device kennt, auf dem die Systempartition installiert ist, beispielsweise /dev/vda3 für eine VM):

    Code
    sudo systemd-cryptenroll –tpm2-device=auto –tpm2-pcrs=7 /dev/vda3
sudo rpm-ostree kargs –append=rd.luks.options=tpm2-device=auto

    OpenSUSE und vermutlich noch einige andere Distros haben eine ähnliche Unterstützung. Die Schwierigkeiten liegen dann wohl eher darin, das wasserdicht in den Installer einzubauen.

    Zotac ZBox ID91: Zorin OS 18 (GNOME) und GuideOS 1.0
    Geekom Mini IT11: Fedora 43 Silverblue (GNOME)
    Macbook Pro 2015: Fedora 42 Workstation (GNOME)

    Quote from zeltinho

    Ich fürchte, weil's Canonical vormacht, werden es viele FOSS-Evangelisten für Teufelswerk halten. :D

    Was glaubst Du was im ubuntuusers Forum alles gegen Ubuntu geschrieben wird. 😳🙄

    *Computer Club Itzehoe e.V./ Computer Club Elmshorn e.V.*
    Meine Umgebung: * Thinkpad X220 Ubuntu 24.04 mit Ubuntu Pro / Kanotix * MacBook Pro 2012 mit Ubuntu 24.10 / Sparky Linux 8 * Surface Pro 6 Ubuntu 24.04 mit Ubuntu Pro * ProPixel 3a Ubuntu Touch * MacBook Pro 2017 mit Kanotix * MacBook Air 2011 mit Lubuntu 24.04.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login