目前,大多數Linux發行版在全盤加密和認證啟動方面都沒有提供足夠的安全性。知名的Linux開發者Lennart Poettering甚至認為,你當前的的數據”如果存儲在ChromeOS、Android、Windows或macOS設備上可能更安全。”
首席systemd開發者Lennart Poettering今天圍繞Linux上的認證啟動和磁盤加密狀況寫了一篇長篇博文。雖然許多Linux發行版提供全盤加密,提供UEFI SecureBoot,並開始接受TPM,但許多技術還沒有發揮其最佳潛力,特別是在購買設備后沒有經過人工安全性加強的的默認情況下。
Lennart對這種情況的簡短總結是:
Linux支持全盤加密(FDE)和諸如UEFI安全啟動和TPM的技術已經有很長一段時間了。然而,大多數發行版對它們的設置方式並不像它們應該有的那樣安全,而且在某些方面相當坦率地說是很奇怪。事實上,現在,如果你的數據存儲在目前的ChromeOS、Android、Windows或MacOS設備上,可能比存儲在典型的Linux發行版上更安全。
在他的博文中,他概述了目前的技術,手頭的問題,以及在改善認證和提供更好的安全方面需要改進的地方。
為了更好地提高安全性,有一些Linux內核拉動請求正在等待systemd的處理,所以這項工作仍然需要時間向上游推進,但這也將取決於Linux發行商在可用時也開始使用這些功能。
您可以閱讀Lennart的博客,了解所有有趣的技術細節和當前Linux還存在的亟待改進的缺點:
http://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html