Canonical重启TPM加密技术，Ubuntu 25.10版本即将支持

Canonical公司Ubuntu桌面工程总监发布了25.10版本的开发路线图，其中包含了一项原本计划在23.10版本中推出的功能。

Jean-Baptiste Lallement在Ubuntu论坛上发布了代号为"Questing Quokka"的路线图，其中最引人注目的是基于可信平台模块(TPM)芯片的全盘加密功能，该功能仅适用于兼容的计算机。

这项功能早在近两年前就被报道过，当时希望能在"Mantic Minotaur"版本中准备就绪，公司当时还发布了详细的博客文章介绍其工作原理。基本原理没有太大变化，但现在有了更多细节。

首先需要明确的是，Ubuntu——像大多数现代Linux发行版一样——已经支持全盘加密(FDE)多年了。当前版本使用名为LUKS(Linux统一密钥设置)的复杂软件栈。这完全通过软件创建加密磁盘，使用Linux逻辑卷管理器(LVM)。它能正常工作，在现代硬件上速度也相当快。

LUKS的主要缺点是用户必须输入密钥短语来解密磁盘才能启动计算机。虽然对笔记本电脑来说还可以，但对服务器没有帮助。如果发生停电或其他意外重启，很可能没有人在场输入密钥，在此之前计算机无法启动，因此无法发送求助消息。由于大多数服务器没有专用显示器和键盘，甚至没人知道出了问题，这意味着需要使用网络键盘/视频/鼠标切换器和集成管理前端。另外一个较小的缺点是必须使用LVM，这意味着要告别GParted等友好工具。

新方法使用现代PC中的板载TPM 2.0芯片。这是Windows 11要求的设备之一，也是为什么在Windows 10支持结束后，许多完全正常的PC会被淘汰的原因。

TPM支持的FDE的基本原理是，加密密钥存储在芯片的加密内存中，当计算机启动时，经过适当签名的引导加载程序可以检索这些密钥，然后解锁卷，再加载签名的内核包。

要使此功能正常工作，需要配备TPM 2.0芯片的PC，必须有UEFI固件，并且必须启用安全启动，这也意味着必须设置为仅UEFI启动(即必须关闭传统启动)。因此，这项功能实际上仅限于能运行Windows 11的PC，但如果你想在较旧的PC上获得更高安全性(以性能为代价)，安装程序中仍然提供旧的LUKS加密方法。

这种与安全启动兼容的启动过程必须与标准Linux启动过程略有不同。Canonical的实现采用了统一内核映像(UKI)系统，该系统由Lennart Poettering设计。至少Canonical没有像SUSE那样组建自己的TPM-FDE解锁方案。

使用TPM芯片管理加密时，密钥被安全存储，你无需输入。正在开发的安装程序会提醒你制作物理副本，或保存到可移动介质，或拍摄二维码。建议认真对待这个建议。如果丢失凭据，就可能永远失去数据。

你可能会想："如果不需要输入密码短语，PC会自动解锁，那么如果被盗，不是也会为窃贼解锁吗？"是的，会的，但有一些额外的安全网。

显然，他们需要知道你的密码；不要与自动登录结合使用。其次，如果你愿意，还可以选择除TPM中存储的密钥外，还需要手动输入的密钥短语。第三，由于机器必须开启安全启动，从可移动介质启动就不那么容易，即使这样做，他们也无法看到磁盘内容。

由于这些新的统一内核包和加载它们的新型引导加载程序，如果启用这个新的FDE系统，Ubuntu将切换到不同的内核安装方式。对于UKI，Questing将通过snap安装和更新内核，就像在Ubuntu Core物联网发行版中已经做的那样。这会让snap反对者感到愤怒，但他们现在确实可以选择LUKS，或者当然也可以使用Devuan。

需要指出的是，GNU专家Richard Stallman坚决反对这些技术。正如Edward Snowden所说：Stallman是对的。"可信平台"并不意味着你可以信任你的计算机，而是意味着软件供应商可以信任PC阻止你对其进行修改。

Q&A

Q1：Ubuntu 25.10的TPM加密功能与现有的LUKS有什么区别？

A：TPM加密使用可信平台模块芯片存储加密密钥，无需用户输入密码即可自动启动，适合服务器使用。而LUKS需要用户每次启动时手动输入密钥短语，更适合个人电脑使用。

Q2：使用TPM加密需要什么硬件条件？

A：需要配备TPM 2.0芯片的PC，必须有UEFI固件并启用安全启动，还要设置为仅UEFI启动模式。基本上只有能运行Windows 11的电脑才支持这项功能。

Q3：如果电脑被盐会不会自动解锁给窃贼？

A：是的，但有多重保护措施：窃贼仍需要知道用户密码，可以设置额外的手动密钥短语，而且由于必须开启安全启动，很难从外部介质启动系统来绕过保护。