systemd開發者坦陳Linux在磁碟加密和認證啟動安全方面存在不足

語言: CN / TW / HK

首席systemd開發者Lennart Poettering今天圍繞Linux上的認證啟動和磁碟加密狀況寫了一篇長篇博文。雖然許多Linux發行版提供全盤加密,提供UEFI SecureBoot,並開始接受TPM,但許多技術還沒有發揮其最佳潛力,特別是在購買裝置後沒有經過人工安全性加強的的預設情況下。

Lennart對這種情況的簡短總結是:

Linux支援全盤加密(FDE)和諸如UEFI安全啟動和TPM的技術已經有很長一段時間了。然而,大多數發行版對它們的設定方式並不像它們應該有的那樣安全,而且在某些方面相當坦率地說是很奇怪。事實上,現在,如果你的資料儲存在目前的ChromeOS、Android、 Windows 或MacOS裝置上,可能比儲存在典型的Linux發行版上更安全。

在他的博文中,他概述了目前的技術,手頭的問題,以及在改善認證和提供更好的安全方面需要改進的地方。

為了更好地提高安全性,有一些Linux核心拉動請求正在等待systemd的處理,所以這項工作仍然需要時間向上遊推進,但這也將取決於Linux發行商在可用時也開始使用這些功能。

您可以閱讀Lennart的部落格,瞭解所有有趣的技術細節和當前Linux還存在的亟待改進的缺點:

http://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html