от DeepUltramarine(10-10-2025)
TPM е хардуерен чип (Trusted Platform Module), вграден в повечето модерни компютри (особено с Intel/AMD процесори). Той се използва за криптографски операции, като съхранение на ключове за дисково криптиране (напр. LUKS), проверка на boot процеса (Secure Boot) и защита от физически атаки.
Скорошно изменение в предстоящото ядро на Linux (версия 6.18), което е обявено днес (10 октомври), се отнася за TPM bus encryption и integrity protection – функция, която криптира и проверява целостта на данните, предавани между Linux ядрото и TPM чипа (чрез HMAC сесии и AES-128-CFB).
Тя е добавена през 2024 г. в ядро 6.10, за да се предпазят от атаки като "snooping" (подслушване) на TPM комуникацията.
В в споменатото ядро, функцията CONFIG_TCG_TPM2_HMAC (която активира това криптиране) беше включена по подразбиране за x86_64 системи. Това означаваше, че всички TPM операции автоматично са криптирани и защитени.
Сега, в Linux 6.18 (и backport-нат към по-стари стабилни версии като 6.12 LTS и 6.17), тази опция е изключена по подразбиране. Това е решено от разработчиците, включително Jarkko Sakkinen (TPM maintainer), поради следните причини:
Производителност: Функцията добавя значителен overhead (забавяне) – до 20-30% по-бавни TPM операции, особено при често използване (напр. с IMA – Integrity Measurement Architecture, която проверява целостта на файлове).
Недостатъчна полза: Защитата е полезна срещу специфични атаки (като TPM Genie interposer за физическо подслушване), но не е критична за повечето потребители. По-добре да се оптимизира преди да се включи отново.
Функцията все още е налична – може да се активира ръчно в config-а на ядрото (Kconfig), ако е нужна повече сигурност.
Ползата от това решение е по-бърза работа на системата, особено за дисково криптиране (FDE с TPM) или приложения, които често четат/пишат в TPM. Това ще помогне на дистрибуции като Ubuntu, Fedora или Arch да работят по-гладко.
Недостатъкът е, че се намалява защитата срещу физически атаки на TPM bus-а. Ако имате критични данни (напр. корпоративни сървъри), се препоръчва е да я включите ръчно.
Това не засяга основното TPM криптиране на диска (напр. LUKS с TPM2) – то работи независимо. Просто комуникацията с чипа е по-малко защитена.
Промяната е документирана в официалните mailing листи на ядрото (linux-integrity@vger.kernel.org)
На 5 октомври e изпратен pull request за "TPM DEVICE DRIVER: tpmdd-next-v6.18", който изрично описва: "This pull request disables TCG_TPM2_HMAC from the default configuration as it does not perform well enough".
Сливането (merge) на кода е направено на 6 октомври от Линус Торвалдс (Linus Torvalds), което означава, че промяната ще е част от ядро 6.18.
Източник: https://www.phoronix.com/news/Linux-Default-Disable-TPM2-HMAC
<< | Излезе Ubuntu 25.10 >>
|
