El cifrado de disco completo TPM llegará a Ubuntu 23.10
Mediante una publicación de blog, Canonical dio a conocer que el cifrado de disco completo respaldado por TPM será implementado en la próxima versión de Ubuntu 23.10 «Mantic Minotaur» (el cual se espera su lanzamiento para el proximo mes), como una característica experimental y que se espera que pueda ser implementada como estable en Ubuntu 24.04 LTS
Se menciona que este nuevo soporte experimental para el cifrado de disco, no requiere una contraseña para desbloquear el disco en el arranque, gracias al almacenamiento de información para descifrar claves en el Módulo de plataforma segura (TPM).
El desbloqueo automático de una unidad cifrada basado en hardware y arranque verificado simplifica la implementación del cifrado de unidad en sistemas corporativos y compartidos, así como en servidores remotos donde no hay forma de ingresar manualmente una contraseña después de cada reinicio.
Esto significa que ya no se necesitarán frases de contraseña en las plataformas compatibles y que el secreto utilizado para descifrar los datos cifrados estará protegido por un TPM y se recuperará automáticamente solo mediante un software de arranque temprano que esté autorizado para acceder a los datos. Además de sus mejoras de usabilidad, FDE respaldado por TPM también protege a sus usuarios de ataques de «criada malvada» que pueden aprovechar la falta de una forma de autenticar el software de arranque, es decir, initrd, para los usuarios finales.
Sobre la nueva implementación de cifrado de disco completo, se detalla en la publicación que «en lugar de generar automáticamente la configuración» del cargador de arranque en el sistema local, el modo de arranque de GRUB y la lógica de selección del kernel se configuran en una configuración definida por la distribución que se pasa a Snapd.
Ademas de ello, el kernel de Linux está empaquetado como una imagen de kernel unificada «UKI», que combina un controlador para cargar el kernel desde UEFI (UEFI boot stub), la imagen del kernel de Linux y el entorno del sistema initrd cargado en la memoria, que se utiliza para la inicialización inicial en la etapa previa al montaje del FS raíz.
Mientras que la imagen UKI se compila como un único archivo ejecutable en formato PE y está firmado digitalmente, al llamar a esta imagen desde UEFI, se verifica la integridad y validez del kernel y el contenido del initrd en su conjunto. Además del kernel y el gestor de arranque, todos los demás componentes del entorno del sistema siguen siendo los mismos que en el Ubuntu clásico.
El acceso a los parámetros de descifrado almacenados en el TPM se realiza en la etapa de arranque inicial y solo desde una imagen initrd especialmente autorizada, firmada digitalmente por la distribución.
Se destaca que el esquema involucrado se ha utilizado en Ubuntu Core durante dos años y proporciona una protección de datos adecuada en caso de robo del dispositivo o ataques a equipos desatendidos. La capacidad de iniciar solo un entorno de sistema verificado se logra mediante el uso de UEFI Secure Boot. Si se realizan cambios en la imagen UKI de inicio inicial y la cadena de inicio verificada se rompe, TPM no permitirá el acceso a la clave utilizada para el descifrado.
Por la parte del anterior soporte de cifrado de disco completo en Ubuntu, el nuevo modelo de la implementación basada en TPM se diferencia por el uso de la arquitectura utilizada en el proyecto Ubuntu Core, ademas de que el instalador ofrece la posibilidad de seleccionar el modo antiguo de cifrado completo del disco, que requiere una contraseña, y el modo nuevo, que almacena datos para descifrar claves en el TPM.
Al elegir el nuevo modo, el gestor de arranque GRUB y el kernel de Linux se suministran en paquetes en formato snap, y el cifrado del disco se gestiona mediante un agente especial en Snapd (al elegir el modo antiguo, GRUB y el kernel se instalan desde paquetes deb tradicionales).
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.