Neues aus der IT-Welt

Vollständige Verschlüsselung (FDE) per TPM (Trusted Platform Module) ist zunehmend Thema in verschiedenen Distributionen. Es bietet eine erhöhte Sicherheit, da der TPM-Chip Verschlüsselungs-Keys sicher auf Hardware-Ebene speichert und schützt, sodaß der Zugriff auf verschlüsselte Daten nur auf dem jeweiligen Gerät und nur nach erfolgreicher Überprüfung von System- und Benutzeridentität möglich ist.

Die kryptografischen Schlüssel werden im TPM-Chip generiert und dort gespeichert, verlassen also niemals die Hardware und sind so besser gegen Software-Angriffe und Malware geschützt. Ein Angreifer kann eine aus einem Gerät entnommene Festplatte in einem anderen Rechner nicht ohne Weiteres entschlüsseln, da der benötigte Schlüssel fest an den TPM-Chip des Ursprungsgeräts gebunden ist. Der Zugriff auf verschlüsselte Daten ist also fest an die Integrität des Systems gekoppelt.

Canonical plant für das im Oktober anstehende Interims-Release 25.10 die experimentelle Integration dieser Verschlüsselungsmethode. Erstmals wurde das Vorhaben im März in der Roadmap für Ubuntu 25.10 "Questing Quokka" vorgestellt. Jetzt folgte ein Report auf Discourse über den Stand der Entwicklung.

Ubuntu-Entwickler Didier Roche führt aus, daß die seit rund zwei Jahren in der Entwicklung befindliche Funktionalität für 25.10 zusätzliche Sicherheitsmechanismen bieten soll.

Das System prüft eingangs das Vorhandensein eines ausreichend aktuellen TPM-Chips und bietet die Funktion nur dann an, wenn die Voraussetzungen stimmen. Sollte es im Verlauf der Installation Probleme geben, erhält der Anwender eine entsprechende Warnung, die versucht, das Problem zu erklären.

In künftigen Versionen über 25.10 hinaus soll das System in diesen Meldungen auch Handlungsanweisungen geben und alternative Methoden aufzeigen.

Bei einer Installation mit dem TPM/FDE-System wird auch ein Wiederherstellungsschlüssel erstellt. Er dient dazu, das TPM in bestimmten Situationen vollständig zu umgehen. Dazu gehören der Verlust der Passphrase oder der Austausch von für das TPM kritischer Hardware. Zusätzlich gibt es die Möglichkeit, wie bei Verschlüsselung ohne TPM, eine Passphrase zu setzen. Dann kann das System nur entschlüsselt werden, wenn der TPM-Status dem erwarteten entspricht und nachdem die Passphrase eingegeben wurde. Neu ist die Möglichkeit, diese Passphrase im neuen Security Center zu ändern.

Roche stellt klar, daß diese Integration derzeit noch nicht für produktive Geräte geeignet ist, sondern eher auf Testsystemen zum Einsatz kommen sollte. Die Entwickler freuen sich über User-Reports mit den verfügbaren Daily Builds.