Systemd 首席開發者 Lennart Poettering 在一篇有關於 Linux 上認證啟動和磁碟加密情況的長篇博文中,雖然 Linux 對全盤加密(Full Disk Encryption,FDE)、UEFI SecureBoot 和可信平臺模組(Trusted Platform Module,TPM)等技術的支援已經有很久的歷史。
「但大多數發行版對它們的設定方式並不像它們應該有的那樣安全,而且在某些方面可以相當坦率的說是很奇怪。事實上,現在如果你的資料儲存在當前的 ChromeOS、Android、Windows 或 MacOS 裝置上,可能比儲存在一些典型的 Linux 發行版上更安全。」
根據介紹,通用的 Linux 發行版(即 Debian、Fedora、Ubuntu......)在 15 年前就採用了全盤加密,以及 LUKS/cryptsetup 基礎架構;Lennart 認為,此舉是向更安全的環境邁出的一大步。之後在差不多十年前,大型發行版又開始將 UEFI SecureBoot 新增到其引導過程中。
對可信平臺模組(TPM)的支援也在很久以前就被新增到了發行版中。但即使現在許多電腦上都內建了 TPM 晶片,一般也不會在通用 Linux 發行版的預設設定中使用。「這些技術目前如何在通用 Linux 發行版上組合在一起,對我來說並沒有太大意義——而且還達不到它們實際可以提供的效果。」
Lennart 在博文中概述了目前的技術、手頭的問題、以及在改善認證和提供更好的安全方面需要改進的地方。
如 所述,為了更好地提高安全性,還有一些 Linux 核心 pr 正在等待 systemd 的處理,因此這項工作仍然需要時間來向上遊推進;但這也將取決於 Linux 發行商是否也在可用時使用了這些功能。
更多詳細內容可檢視。