Ubuntu 25.10 упростит использование аппаратного полнодискового шифрования (FDE), интегрированного с модулем Trusted Platform Module (TPM), укрепляя историю безопасности дистрибутива – хотя пока только в качестве экспериментальной функции.
Вы уже можете настроить полное шифрование диска в Ubuntu при установке (с помощью программы установки на базе Flutter). При этом шифрование осуществляется с помощью заданной вами парольной фразы (LUKS), которую вы вводите при каждой загрузке. В случае успеха парольная фраза расшифровывает содержимое диска, и вы продолжаете работу.
Можно также использовать ключи шифрования диска, привязанные к TPM (т. е. на аппаратном уровне – хотя TPM можно эмулировать и на программном уровне), при этом TPM используется для проверки каждой загрузки системы. Именно так работает шифрование диска в большинстве основных настольных операционных систем.
TPM измерит большинство программ и микропрограмм, запущенных до операционной системы и позволит разблокировать зашифрованный диск только при тех условиях, при которых они утверждают о данном состоянии системы.
- по словам каноника Дидье Роша
Этот процесс может обеспечить защиту от вмешательства в предзагрузочную среду (как вы помните, это часть недостатка безопасности initramfs, о котором я недавно сообщал, и который может работать на установках Ubuntu независимо от включения FDE).
Но создание TPM-установок заметно улучшилось в Ubuntu 25.10.
Вы сможете выбрать автоматическую разблокировку диска при успешной проверке TPM или удвоить скорость, потребовав ввести кодовую фразу – дополнительный уровень безопасности.
В Ubuntu генерация ключа восстановления будет занимать центральное место при настройке FDE независимо от TPM или парольной фразы, но особенно полезна для последней, поскольку ключ используется для полного обхода TPM.
Восстановление может потребоваться, если вы обновляете прошивку TPM, меняете местами аппаратное обеспечение или (очевидно) забыли парольную фразу и хотите получить доступ к содержимому диска.
Настольное приложение Firmware Updater теперь будет запрашивать ключ восстановления перед применением любых обновлений, которые могут повлиять на состояние TPM, а настольное приложение Security Center получило новую панель настроек, с помощью которой можно изменить парольную фразу и сгенерировать новый ключ восстановления:
Установка TPM может произойти только в том случае, если программа установки Ubuntu определит, что ваша система подходит для работы с ним (TPM v2, отсутствие известных непропатченных уязвимостей, правильная конфигурация и т. д.), и Ubuntu 25.10 будет более полезна, чтобы сказать вам почему, если она не может этого сделать.
Если есть проблемы, опция не будет доступна для использования. Программа установки покажет некоторую информацию о причинах и, в Ubuntu 26.04 LTS или более поздних версиях, подробно расскажет о действиях по устранению проблем, мешающих установке TPM/FDE – но это все TBD.
FYI FDE/TPM WIP
Учитывая, что большинство крупных настольных операционных систем предлагают аппаратное шифрование дисков, Ubuntu также должна быть готова к этому. Реализация этого, вероятно, представляет собой сложную задачу: множество движущихся частей, множество технических соображений и огромное количество аппаратных средств, с которыми нужно хорошо взаимодействовать.
Работа с TPM в Ubuntu 25.10 не будет идеальной, и некоторые функции для пользователей еще не реализованы. Поскольку FDE/TPM ставит ядро в тупик (да, в тупик), это означает, что некоторые бинарные драйверы (например, NVIDIA) не будут корректно работать в FDE-установке (ничего нового).
Именно поэтому Ubuntu продолжает подчеркивать экспериментальный характер этой системы, а Рош предупреждает, что это явно не то, что вы должны (пока) устанавливать в производственной среде, а скорее устройство, на котором вы можете позволить себе что-то напутать.
Но для тех, кто хочет, чтобы Ubuntu укрепила свою безопасность и соответствовала современным ожиданиям, эти улучшения являются шагами в правильном направлении – и перед следующим крупным релизом долгосрочной поддержки работа, пусть и экспериментальная, должна быть завершена, чтобы позволить провести тестирование в реальных условиях.
Ожидайте эти изменения в финальном выпуске Ubuntu 25.10, который должен появиться 9 октября 2025 года.