Компьютерный доктор

11 окт

Защита от атак на BitLocker против производительности

Почему Linux отключил шифрование TPM по умолчанию

Производительность берёт верх, безопасность остаётся по выбору.
Защита от атак на BitLocker против производительности - 5409250439891
В Linux 6.10 в прошлом году появилось шифрование шины и защита взаимодействия с модулями Trusted Platform Module 2.0. Эту доработку внедрили после демонстраций атак, где исследователи показывали восстановление ключей BitLocker и перехват трафика TPM. Сразу после слияния функцию включили по умолчанию только для x86_64, потому что именно там её успели проверить. Теперь, спустя больше года, поведение меняют. В основной ветке ядра эта возможность перестаёт быть включённой по умолчанию.

Изменение уже вошло в Linux 6.18 и отмечено для обратного портирования в поддерживаемые ветки, начавшие жизнь с 6.10. В число таких веток входят, например, 6.12 LTS и 6.17. Речь о переключателе конфигурации TCG_TPM2_HMAC. Он не исчезает и остаётся доступен всем, кому нужно HMAC и шифрование транзакций на шине TPM, однако по умолчанию в сборках ядра под x86_64 он больше не активен.

Повод для разворота простой. Разработчики сходятся во мнении, что текущая реализация даёт заметные накладные расходы во время работы системы, а выгода пока не тянет на статус функции, которая включена у всех без исключения. Код с изменением уже принят. Дальше у команды ядра появится возможность спокойнее оценить реальную прибавку по безопасности и заняться оптимизациями, чтобы вернуть включение по умолчанию в одной из следующих версий, если баланс безопасности и производительности улучшится.

Для пользователей это означает понятный выбор. Тем, кому важнее максимальная защита трафика между операционной системой и TPM 2.0, никто не мешает вручную задействовать TCG_TPM2_HMAC при сборке ядра или в настройках дистрибутива. Тем, кто рассчитывает на стандартные сборки, изменение снизит системные накладные расходы без отказа от самой возможности. Команда ядра оставляет опцию в арсенале и продолжает искать конфигурацию, которая даст ощутимый выигрыш в безопасности без лишних потерь скорости.

Источник

Комментарии

  • 11 окт 21:56
    Чем линукс и замечателен. Влвделец ПК самостоятельно решает, что ему нужно, а что нет. Например, как в приведенном примере. Если владельцу нужна повышенная безопасность ввиду специфики работы, тогда никто не мешает включить пресловутый TPM. А если у чела старенький непроизводительный комп, по соцсетям прошвырнуться, да видосы-музычку послешать-посмотреть, никто его за шкибот не тянет - комп на свалку, а сам беги за новым железом. Нет TPM так нет, и без него обойдемся и не станем юзеру клевать мозг.
  • 12 окт 12:51
    Сейчас занимаюсь восстановлением вот такой штуки (см. фото). Заказал тачскрин вместе со всей пластиковой и металлической обвязкой за ~36 евро на Алиэкспрессе потому что тачскрин разбит и переклеивать тачскрин геморно и просто нерентабельно. Плюс зарядное устройство за ~18 евро (взял "аналог" не на 45 ватт по оригиналу, а на 65 ватт от старших моделей Lenovo, чтобы уверенно работало). Это планшет на Винде, расширяемый до нетбука за счёт отсёгивающейся клавы... Нафиг там TPM 2.0 пока не понятно... Только чтобы ещё больше тормозил? Причём, там есть возможность официального апгрейда до Windows 11 PRO x64 и эта ОС уже стоит путём апгрейда (загрузка оперативки около 80% ). Будем возвращаться на Windows 10 PRO x64, причём официально, из резервного раздела. Эта конкретно модель на Celeron N4000 и 4 Gb оперативки с 64 Gb EMMC... Мдааа...
    ФотографияФотография
  • 12 окт 12:58
    Тачскрин с экраном и всей обвязкой - осталось перенести на него всё навесное со старого головного блока.
    Фотография
  • 12 окт 14:41
    4 гб оперативы под 11-ю, это уже зашквар#u2d8d0d8f2bs#