Systemd 首席開發(fā)者 Lennart Poettering 在一篇有關于 Linux 上認證啟動和磁盤加密情況的長篇博文中表示，雖然 Linux 對全盤加密(Full Disk Encryption，FDE)、UEFI SecureBoot 和可信平臺模塊(Trusted Platform Module，TPM)等技術的支持已經有很久的歷史。

“但大多數發(fā)行版對它們的設置方式并不像它們應該有的那樣安全，而且在某些方面可以相當坦率的說是很奇怪。事實上，現在如果你的數據存儲在當前的 ChromeOS、Android、Windows 或 MacOS 設備上，可能比存儲在一些典型的 Linux 發(fā)行版上更安全。”

根據介紹，通用的 Linux 發(fā)行版(即 Debian、Fedora、Ubuntu......)在 15 年前就采用了全盤加密，以及 LUKS/cryptsetup 基礎架構;Lennart 認為，此舉是向更安全的環(huán)境邁出的一大步。之后在差不多十年前，大型發(fā)行版又開始將 UEFI SecureBoot 添加到其引導過程中。

對可信平臺模塊(TPM)的支持也在很久以前就被添加到了發(fā)行版中。但即使現在許多電腦上都內置了 TPM 芯片，一般也不會在通用 Linux 發(fā)行版的默認設置中使用。“這些技術目前如何在通用 Linux 發(fā)行版上組合在一起，對我來說并沒有太大意義——而且還達不到它們實際可以提供的效果。”

Lennart 在博文中概述了目前的技術、手頭的問題、以及在改善認證和提供更好的安全方面需要改進的地方。

如 Phoronix 所述，為了更好地提高安全性，還有一些 Linux 內核 pr 正在等待 systemd 的處理，因此這項工作仍然需要時間來向上游推進;但這也將取決于 Linux 發(fā)行商是否也在可用時使用了這些功能。

更多詳細內容可查看博客文章。

本文轉自OSCHINA

本文標題：Systemd 首席開發(fā)者：Linux 在磁盤加密和認證啟動安全方面存在不足

本文地址：https://www.oschina.net/news/161639/authenticated-boot-disk-encryption-on-linux