將于下個月發布的 Ubuntu 23.10 增加了一項實驗性功能 —— 初步支持基于 TPM 的全磁盤加密。該功能利用系統的可信平臺模塊 (TPM)，缺點是這種額外的安全性依賴于 Snaps，包括內核和 GRUB 引導加載器。

Ubuntu 開發商 Canonical 公司表示，Ubuntu 23.10 添加實驗性 TPM 支持的全磁盤加密，以補充他們多年來一直提供的全磁盤加密。由于沒有 TPM 集成。這將適用于經典的 Ubuntu 桌面系統。

從最初提供基于 eCryptfs 的主目錄加密，然后補充了 Ubuntu 桌面和服務器的全磁盤加密。多年來，Ubuntu 支持了各種形式的磁盤加密，再到現在支持基于 TPM 的全磁盤加密。

不過此功能可能會讓一些 Ubuntu 用戶不滿，因為這種 TPM 支持的全磁盤加密依賴于他們備受爭議的 Snaps 打包格式進行交付。

Canonical 在公告解釋道：

“經典 Ubuntu 桌面系統上的 TPM 支持的全磁盤加密基于 Ubuntu Core 相同的架構，它共享許多設計和實現原則。換句話說，引導加載程序 (shim 和 GRUB) 和內核資產將以 Snap 軟件包的形式交付（通過 gadget 和 kernel snaps），而不是作為 Debian 軟件包交付。

因此，Snapd 代理將負責在其生命周期內管理全磁盤加密。 引導加載程序邏輯包括引導模式選擇和內核選擇，編碼在由 Snapd 提供的 GRUB 配置中，而不是在設備上自動生成。

最后，我們將使用統一內核映像，其中內核和 initramfs 將封裝在一個包含執行內核的小存根的單個 PE 二進制文件中。這將作為單個工件進行簽名。”

詳情：https://ubuntu.com/blog/tpm-backed-full-disk-encryption-is-coming-to-ubuntu