今後、UbuntuはTPMがサポートするフルディスク暗号化を利用できるようになるでしょう。しかし、それはあなたが望むものですか?
Ubuntu 23.10のデイリービルドには、エキサイティングな新機能が追加され続けています!
これに先立ち、 新しい 導入されました。
現在、ユーザーのディスク暗号化の処理方法を変更することで、Ubuntuシステムのセキュリティを強化するために、もう1つの大きな変更が行われています。
この機能の初期サポートはUbuntu 23.10で提供され、Ubuntuの将来のバージョンで改善される予定です。
実験的機能としてのTPMサポートの導入は、過去15年間にわたるUbuntuのFDEへの取り組み方の大きな変化を意味します。
既存のシステムでは、パスワードメカニズムが使用され、ユーザーが設定したパスワードを受け入れることによってユーザーを認証し、そのパスワードを使用してディスクへのアクセスを提供します。
これらはすべて、ブロックレベルでディスク暗号化を処理するフレームワークの統合によって可能になりました。
TPM対応システムでは、マザーボード上のTPMチップを使用して、パスワードなしでディスクを完全に暗号化します。
チップは、完全な EFI 状態と カーネルコマンドラインの復号化をロックするキーを処理 します。これは、機密データへのアクセスを「許可」されたソフトウェアでデバイスを起動した場合にのみ可能です。
TPM 省略
しかし、問題があります。
TPMがサポートするFDEは、 PPA の主な変更点 同じアーキテクチャに基づいており、 Snapパッケージとして提供される多くの主要コンポーネントが共有されます。そのため、ブートローダーやカーネルファイルなどはSnap経由で配信されます。
幸いなことに、この新しい TPMがサポートするFDEだけが、ディスクを暗号化する唯一の方法というわけではありません。新しいシステムを使いたくない人のために、従来の暗号システムも残っています。
また、ユーザーは新しいシステムとパスワードを使用することで、セキュリティをさらに強化することができます。
TPMがサポートするディスク暗号化の技術的な詳細については、UbuntuのUbuntu Core読むことをお勧めします。
ご興味がおありですか?
実験的な機能をテストすると、データが完全に失われる可能性があります。したがって、自己責任で行ってください。
さて、FDEのTPMサポートは Ubuntu 23. 10の ロールアウトされており、この記事のスクリーンショットにあるように、インストールプロセス中に設定するだけです。
新しいFDEオプションは、Ubuntuインストーラでインストールの種類を選択する際に、Advanced Features(詳細機能)で利用できます。
経由
