Il chip TPM (Trusted Platform Module) è un componente hardware che viene integrato nella scheda madre di un computer o in un dispositivo. Esiste anche la variante fTPM, legata al processore installato sulla macchina e indipendente dalla motherboard. Per crittografare il disco di sistema di solito si fa affidamento proprio al chip TPM, utilizzato per garantire che il processo di avvio sia affidabile e che le chiavi di crittografia siano rilasciate solo se il sistema è integro e non risulta compromesso.
La crittografia completa del disco provvede a cifrare tutti i dati memorizzati sull’unità di memorizzazione in modo che siano inaccessibili senza la chiave di decodifica corretta. Anche se un dispositivo venisse rubato, i dati rimangono sicuri perché illeggibili senza la chiave appropriata.
Microsoft offre la tecnologia BitLocker per proteggere il contenuto delle unità da accessi non autorizzati. Come abbiamo evidenziato in altri articoli, bypassare BitLocker e accedere al contenuto di un disco crittografato è possibile, anche senza utilizzare strumenti costosi. Per questo motivo, al fine di evitare rischi, è essenziale attivare BitLocker chiedendo un PIN all’avvio della macchina.
Canonical, da parte sua, ha annunciato un’importante novità: in concomitanza con il rilascio di Ubuntu 23.10, è prevista l’introduzione del supporto per la crittografia completa del disco basata su TPM.
Crittografare il disco con Ubuntu e il chip TPM
Il supporto per la crittografia del disco mediante chip TPM è ancora considerato “sperimentale”. Lo spiega Canonical in un comunicato ufficiale.
Da anni Ubuntu supporta la crittografia del disco, unità di sistema compresa; la novità consiste nella completa adozione del chip TPM.
Come spiega Canonical, la crittografia completa del disco basata su TPM si può abilitare sui sistemi desktop classici e poggia sulla stessa architettura di Ubuntu Core. Condivide quindi alcuni dei suoi principi di progettazione e implementazione. In particolare, il bootloader (shim e GRUB) e i componenti del kernel sono forniti come pacchetti Snap invece di essere distribuiti come pacchetti Debian. È l’agente Snapd a essere responsabile della gestione della crittografia completa del disco durante tutto il suo ciclo di vita.
È questo l’unico punto che potrebbe indisporre alcuni utenti Linux. Snap è un formato per la distribuzione di pacchetti software ideato da Canonical. Può essere concepito come una versione “containerizzata” delle varie applicazioni, insieme con tutte le relative dipendenze.
Nell’ambito della comunità Linux ha suscitato alcune controversie per le sue differenze rispetto ai classici pacchetti Debian. L’uso di Snap per il kernel e il bootloader potrebbe inoltre rendere più complessa la personalizzazione e la gestione del sistema per alcuni utenti avanzati che sono abituati a configurare direttamente queste componenti.
Credit immagine in apertura: iStock.com/natatravel