Canonical arbeitet an einer TPM-basierten Verschlüsselung

Mit dem in Kürze erscheinenden Ubuntu 23.10 wird Canonical erstmals experimentell eine vollständige TPM-basierte Verschlüsselung einführen. Eine kurze Einführung wurde kürzlich im offiziellen Ubuntu-Blog veröffentlicht.

Ansätze, TPM für Linux produktiv nutzbar zu machen, gibt es schon länger. Früher musste dafür ein umständliches Verfahren auf Basis von Clevis verwendet werden. Das gehört glücklicherweise der Vergangenheit an. Die am weitesten fortgeschrittene Entwicklung entstammt dem systemd-Umfeld und lässt sich aktuell experimentell nutzen. Entgegen kollektiver Vorbehalte, die meist nicht durch Fakten untermauert sind, sondern einer gefühlten Überforderung vieler Unix-Veteranen entspringen, halte ich TPM-basierte Ansätze für sinnvoll und letztlich auch unumgänglich, wenn Linux im Unternehmensumfeld bestehen will.

Ohne eine Kombination aus Verified Boot, Measured Boot und vollständiger Verschlüsselung (nur um mal ein paar Schlagwörter dessen zu nennen, was aktuell schon weitestgehend Standard ist) wird Linux bald nicht mehr den elementaren Sicherheitsanforderungen anderer Systeme genügen. Windows und macOS sind hier schon einige Schritte weiter.

Für Ubuntu scheint Canonical wieder einmal ein eigenes System zu entwerfen. Im Grunde genommen strebt man das gleiche Ziel an, das Poettering umsetzen möchte – nur eben mit einer anderen technischen Implementierung. Technische Details fehlen noch, aber die Ankündigung betont die zentrale Rolle von snapd. Canonical scheint sein eigenes Snap-System mit allen Mitteln gegen die Entwicklungen aus dem Red-Hat-Umfeld durchsetzen zu wollen. Die neue TPM-basierte Verschlüsselung wird es mit einem klassischen DEB-basierten System jedenfalls nicht geben. Denn hierfür werden Kernel und GRUB als Snaps ausgeliefert.

Eine sehr spannende Entwicklung und angesichts der aktuellen Nachrichten aus dem Hause IBM/Red Hat sicherlich keine schlechte Alternative. Es bleibt abzuwarten, welche Qualität diese hat und ob Canonical sie nachhaltig verfolgt. Zumindest bei Snap hat man bisher einen langen Atem bewiesen.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.
  1. Ich denke, dass Canonical mit dem System auch gar nicht auf den Desktop abzielt, sondern auf die Systeme, wo Ubuntu kommerziell genutzt wird und aktuell schon ein Ubuntu basierend auf Ubuntu Core zum Einsatz kommt. Dass das dann ggf. auch auf dem Ubuntu Desktop Einzug hält ist hat mehr so der Seiteneffekt (oder Kollateralschaden, je nach Sichtweise 😉 ).

    Bzgl. systmd und RedHat mache ich mir eigentlich weniger Gedanken, auch wenn RedHat AFAIK wichtige systemd Entwickler bezahlt. systemd ist im Linux Kontext zu groß und wichtig, als das es am Ende Firmenpolitik zum Opfer fallen würde.

  2. Das Windows und macOS jede gängige Desktop-Linux-Distribution bei der Unterstützung von Sicherheitsfunktionen längst überholt haben, ist maximal peinlich für Open-Source-Software mit dem Prädikat “besonders sicher”.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel