A Linux mostantól alapértelmezetten letiltja a TPM busz titkosítását a teljesítmény javítása érdekében

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A Linux kernel fejlesztői a közelmúltban bejelentették, hogy a Trusted Platform Module 2 (TPM2) kommunikációját védő TPM busz titkosítást (TPM bus encryption) ezentúl alapértelmezetten kikapcsolják. A döntés a teljesítménycsökkenés és a korlátozott biztonsági előnyök miatt született meg. A TPM busz titkosítása először a Linux 6.10 verzióban jelent meg, válaszul egy korábbi biztonsági bemutatóra, amely során sikerült TPM-kulcsokat visszanyerni a Microsoft Windows BitLocker rendszeréből, valamint TPM-adatok lehallgatását is demonstrálták. A cél az volt, hogy megakadályozzák a TPM és az operációs rendszer közötti kommunikáció lehallgatását.

A funkció kezdetben csak az x86_64 architektúrában volt alapértelmezésben engedélyezve, mivel azon sikerült a legtöbb tesztet elvégezni. Azonban több mint egy év tapasztalata alapján kiderült, hogy a titkosított TPM-kommunikáció jelentős futásidejű terhelést okoz, miközben a biztonsági haszna csekély a legtöbb felhasználói környezetben.

Mi változik most?

A Linux 6.18 fejlesztési ágba már bekerült az a beolvasztási kérelem, amely letiltja alapértelmezetten a TCG_TPM2_HMAC konfigurációs opciót. Ez a beállítás határozza meg, hogy a kernel használja-e a HMAC alapú hitelesítést és titkosított tranzakciókat a TPM-busz kommunikáció során.

A fejlesztők döntése szerint:

  • a TCG_TPM2_HMAC opció továbbra is elérhető,
  • de alapértelmezetten ki lesz kapcsolva minden x86_64 kernel build esetében,
  • és a változtatást visszamenőleg is beépítik a még karbantartott verziókba, mint például a Linux 6.12 LTS és Linux 6.17.

A Linux kernel fejlesztői közösség egyetértett abban, hogy a funkció túl nagy teljesítményvesztést okoz, miközben nem nyújt elég biztonsági előnyt ahhoz, hogy alapértelmezetten engedélyezve maradjon. A fejlesztők most abban bíznak, hogy az opció kikapcsolásával több erőforrást tudnak fordítani a funkció optimalizálására és újraértékelésére, hogy a jövőben ismét érdemes legyen alapértelmezésként aktiválni. A TPM busz titkosítása továbbra is fontos biztonsági funkció marad, különösen érzékeny környezetekben, de az átlagos felhasználók számára a teljesítmény és a stabilitás jelenleg előnyt élvez.

A Linux fejlesztői ezzel a lépéssel egy kiegyensúlyozottabb alapértelmezett konfigurációt kívánnak biztosítani, miközben nyitva hagyják az utat a jövőbeni fejlesztések és optimalizált megoldások előtt.

TPM
TPM