Canonical公司Ubuntu桌面工程总监发布了25.10版本的开发路线图,其中包含了一项原本计划在23.10版本中推出的功能。
Jean-Baptiste Lallement在Ubuntu论坛上发布了代号为"Questing Quokka"的路线图,其中最引人注目的是基于可信平台模块(TPM)芯片的全盘加密功能,该功能仅适用于兼容的计算机。
这项功能早在近两年前就被报道过,当时希望能在"Mantic Minotaur"版本中准备就绪,公司当时还发布了详细的博客文章介绍其工作原理。基本原理没有太大变化,但现在有了更多细节。
首先需要明确的是,Ubuntu——像大多数现代Linux发行版一样——已经支持全盘加密(FDE)多年了。当前版本使用名为LUKS(Linux统一密钥设置)的复杂软件栈。这完全通过软件创建加密磁盘,使用Linux逻辑卷管理器(LVM)。它能正常工作,在现代硬件上速度也相当快。
LUKS的主要缺点是用户必须输入密钥短语来解密磁盘才能启动计算机。虽然对笔记本电脑来说还可以,但对服务器没有帮助。如果发生停电或其他意外重启,很可能没有人在场输入密钥,在此之前计算机无法启动,因此无法发送求助消息。由于大多数服务器没有专用显示器和键盘,甚至没人知道出了问题,这意味着需要使用网络键盘/视频/鼠标切换器和集成管理前端。另外一个较小的缺点是必须使用LVM,这意味着要告别GParted等友好工具。
新方法使用现代PC中的板载TPM 2.0芯片。这是Windows 11要求的设备之一,也是为什么在Windows 10支持结束后,许多完全正常的PC会被淘汰的原因。
TPM支持的FDE的基本原理是,加密密钥存储在芯片的加密内存中,当计算机启动时,经过适当签名的引导加载程序可以检索这些密钥,然后解锁卷,再加载签名的内核包。
要使此功能正常工作,需要配备TPM 2.0芯片的PC,必须有UEFI固件,并且必须启用安全启动,这也意味着必须设置为仅UEFI启动(即必须关闭传统启动)。因此,这项功能实际上仅限于能运行Windows 11的PC,但如果你想在较旧的PC上获得更高安全性(以性能为代价),安装程序中仍然提供旧的LUKS加密方法。
这种与安全启动兼容的启动过程必须与标准Linux启动过程略有不同。Canonical的实现采用了统一内核映像(UKI)系统,该系统由Lennart Poettering设计。至少Canonical没有像SUSE那样组建自己的TPM-FDE解锁方案。
使用TPM芯片管理加密时,密钥被安全存储,你无需输入。正在开发的安装程序会提醒你制作物理副本,或保存到可移动介质,或拍摄二维码。建议认真对待这个建议。如果丢失凭据,就可能永远失去数据。
你可能会想:"如果不需要输入密码短语,PC会自动解锁,那么如果被盗,不是也会为窃贼解锁吗?"是的,会的,但有一些额外的安全网。
显然,他们需要知道你的密码;不要与自动登录结合使用。其次,如果你愿意,还可以选择除TPM中存储的密钥外,还需要手动输入的密钥短语。第三,由于机器必须开启安全启动,从可移动介质启动就不那么容易,即使这样做,他们也无法看到磁盘内容。
由于这些新的统一内核包和加载它们的新型引导加载程序,如果启用这个新的FDE系统,Ubuntu将切换到不同的内核安装方式。对于UKI,Questing将通过snap安装和更新内核,就像在Ubuntu Core物联网发行版中已经做的那样。这会让snap反对者感到愤怒,但他们现在确实可以选择LUKS,或者当然也可以使用Devuan。
需要指出的是,GNU专家Richard Stallman坚决反对这些技术。正如Edward Snowden所说:Stallman是对的。"可信平台"并不意味着你可以信任你的计算机,而是意味着软件供应商可以信任PC阻止你对其进行修改。
Q&A
Q1:Ubuntu 25.10的TPM加密功能与现有的LUKS有什么区别?
A:TPM加密使用可信平台模块芯片存储加密密钥,无需用户输入密码即可自动启动,适合服务器使用。而LUKS需要用户每次启动时手动输入密钥短语,更适合个人电脑使用。
Q2:使用TPM加密需要什么硬件条件?
A:需要配备TPM 2.0芯片的PC,必须有UEFI固件并启用安全启动,还要设置为仅UEFI启动模式。基本上只有能运行Windows 11的电脑才支持这项功能。
Q3:如果电脑被盐会不会自动解锁给窃贼?
A:是的,但有多重保护措施:窃贼仍需要知道用户密码,可以设置额外的手动密钥短语,而且由于必须开启安全启动,很难从外部介质启动系统来绕过保护。
好文章,需要你的鼓励
数据分析平台公司Databricks完成10亿美元K轮融资,公司估值超过1000亿美元,累计融资总额超过200亿美元。公司第二季度收入运营率达到40亿美元,同比增长50%,AI产品收入运营率超过10亿美元。超过650家客户年消费超过100万美元,净收入留存率超过140%。资金将用于扩展Agent Bricks和Lakebase业务及全球扩张。
Meta与特拉维夫大学联合研发的VideoJAM技术,通过让AI同时学习外观和运动信息,显著解决了当前视频生成模型中动作不连贯、违反物理定律的核心问题。该技术仅需添加两个线性层就能大幅提升运动质量,在多项测试中超越包括Sora在内的商业模型,为AI视频生成的实用化应用奠定了重要基础。
医疗信息管理平台Predoc宣布获得3000万美元新融资,用于扩大运营规模并在肿瘤科、研究网络和虚拟医疗提供商中推广应用。该公司成立于2022年,利用人工智能技术提供端到端平台服务,自动化病历检索并整合为可操作的临床洞察。平台可实现病历检索速度提升75%,临床审查时间减少70%,旨在增强而非替代临床判断。
上海AI实验室发布OmniAlign-V研究,首次系统性解决多模态大语言模型人性化对话问题。该研究创建了包含20万高质量样本的训练数据集和MM-AlignBench评测基准,通过创新的数据生成和质量管控方法,让AI在保持技术能力的同时显著提升人性化交互水平,为AI价值观对齐提供了可行技术路径。