Systemd首席开发人员LennartPoettering在一篇关于Linux上经过身份验证的启动和磁盘加密状态的冗长博客文章中写道,虽然Linux不支持完整磁盘加密(FullDiskEncryption,FDE)、UEFISecureBoot和可信平台模块(TrustedPlatformModule,TPM)等技术的支持由来已久。“但大多数发行版在设置方式上并不像它们应有的那样安全,坦率地说,在某些方面可能很奇怪。事实上,如果你的数据存储在当前的ChromeOS、Android、Windows或MacOS上设备,这可能比存储在某些典型的Linux发行版上更安全。”据介绍,通用Linux发行版(即Debian、Fedora、Ubuntu……)在15年前采用了全盘加密,以及LUKS/cryptsetup基础设施;Lennart认为这是迈向更安全环境的一大步.然后,大约十年前,主要发行版开始将UEFISecureBoot添加到他们的引导过程中.对可信平台模块(TPM)的支持也很早以前就添加到发行版中了.但即使TPM芯片内置在许多计算机中,这些天,它们通常不用于普通Linux发行版的默认设置。Lennart在一篇博客文章中写道,概述了当前在改进身份验证和提供更好的安全性方面的技术、问题和需要改进的领域。正如Phoronix所指出的,还有一些Linux内核PRs与systemd挂起以获得更好的安全性,因此这项工作仍需要时间向上游移动;但这也取决于Linux发行版是否也可以使用这些功能。可以在博客文章中找到更多详细信息。本文转自OSCHINA文章标题:Systemd首席开发者:Linux磁盘加密和认证启动安全性不足本文地址:https://www.oschina.net/news/161639/authenticated-boot-disk-Linux上的加密
