Canonical will mit dem kommenden Ubuntu 25.10 neue Wege in Sachen Datensicherheit gehen. Erstmals wird ein Mechanismus erprobt, bei dem sich die Verschlüsselung der Systemfestplatte direkt mit dem Trusted Platform Module (TPM 2.0) koppeln lässt. Diese Funktion steht ab Oktober in einer experimentellen Variante zur Verfügung.
Verschlüsselung an die Hardware binden
Im Kern geht es darum, den Entschlüsselungsprozess fest mit einem im Gerät verbauten Sicherheitschip zu verknüpfen. Das Ziel: Selbst wenn ein Angreifer die Festplatte entwendet, lässt sich der Inhalt ohne das dazugehörige TPM nicht entschlüsseln. Die Hardware wird somit zum entscheidenden Schlüssel – ein Prinzip, das bereits aus Windows-BitLocker bekannt ist, bei Linux aber bislang selten zum Einsatz kam.
Bereits seit Jahren in Entwicklung
Die Idee hinter der TPM-gestützten Verschlüsselung ist nicht neu. Canonical-Ingenieure arbeiten bereits seit längerer Zeit an einer entsprechenden Lösung. Nun ist man offenbar soweit, erste Testnutzer an Bord zu holen. Die Integration erfolgt über den grafischen Installer von Ubuntu und lässt sich dort im Rahmen der Neuinstallation aktivieren. Unterstützt wird ausschließlich TPM 2.0.
Noch kein Produktivbetrieb vorgesehen
Zum jetzigen Zeitpunkt versteht Canonical die Funktion ausdrücklich als technische Vorschau. Sie richtet sich an Nutzer, die sich mit Verschlüsselung auskennen und bereit sind, eventuelle Fehler zu melden. Eine breite Ausrollung ist erst für das kommende LTS-Release Ubuntu 26.04 geplant – dort dann mit offizieller Unterstützung und stabiler Umsetzung.
Weiterführende Informationen auf Ubuntu Discourse
Wer sich tiefer mit dem Thema befassen möchte, findet auf der Plattform Ubuntu Discourse entsprechende Beiträge des Entwicklerteams. Dort wird regelmäßig über Fortschritte berichtet – samt technischer Details, möglicher Stolpersteine und Hinweise für Testwillige.
Ob das sinnvoll ist? Das TPM löst ja nur 2 Probleme:
1) überprüft werde/signaturen der files im bootablauf
2) speichert ein sehr langes PW zur Verschlüsselung
Ohne pre-boot PIN wird das PW automatisch ohne Nutzerinteraktion aufgerufe, was 2) sinnlos macht.
Mit und ohne pre-Boot pin droht bei verlust der PWs in der Langform der Verlust aller Daten.
Nur das es dann kein MS-Konto gibt, wo Papa USA eine Kopie deines PWs in langform hat.
s/werde/Werte
TMP löst auch noch andere probleme. zB, das man veil mehr games supporten kann, was vorher nicht ging da man für diese TPM benötigt
Ja und man kann dir ferngesteuert genauso auch Software verbieten auszuführen, hat das BSI früher schonmal mit der Einführung davon bei eingangs Windows 8 davor gewarnt.
TPM, nein danke
mfG
ich bin für TPM den ich hasse botter und cheater!
So wird ein TPM in der Praxis nicht benutzt (unter anderem, weil es das gar nicht könnte).
Das TPM speichert kein Passwort, das es zu irgendeinem Zeitpunkt rausrücken würde, sondern es erlaubt lediglich die Verschlüsselung/Entschlüsselung mit einem TPM-spezifischen Passwort.
Eine Festplattenverschlüsselung verschlüsselt erst die ganze Festplatte mit einem zufälligen Schlüssel, der außerhalb des TPM per Software erzeugt wird.
Danach wird dieser Schlüssel mit dem Benutzerpasswort und/oder TPM verschlüsselt und auf der Festplatte gespeichert. Beim Booten wird dann der verschlüsselte Schlüssel gelesen, mit Benutzerpasswort und/oder TPM entschlüsselt und der Rest verläuft dann wieder komplett außerhalb des TPM per Software.
Dieser Schlüssel kann immer gesichert werden, da er außerhalb des TPMs erzeugt und benutzt wird. (bei Microsoft landet er dann in den USA und bei Ubuntu wird man die Sicherung wohl selbst vornehmen müssen, aber möglich ist es immer)
Auch moderne TPMs erlauben nur einige hundert Ver-/Entschlüsselungen pro Sekunde. Wenn die Festplattenverschlüsselung komplett vom TPM durchgeführt würde, dann läge die Lese-/Schreibgeschwindigkeit einer SSD vermutlich bei 1 KB/s.
Das zieht hoffentlich schnell in andere Linuxe ein, sobald es fertig ist. MS hat mit Bitlocker vor fast 20 Jahren gezeigt, wie einfach eine Festplattenverschlüsselung für Anwender sein kann, das Linux da nicht mithalten konnte, finde ich bei der Userbase eher skurril.
ahja, schon komisch, bis auf ein paar Pakete hatte ich auf Bitlocker-verschlüsselte Partition ohne Schlüssel Vollzugriff, es brauchte nur die Nachinstallation von ein paar Paketen.
Daher, Bitlocker, nein danke.
mfG
Kann das auch reproduziert und Microsoft mitgeteilt werden?
Das wäre ja die Sensation des Jahres, dass mal eben so eine mit Bitlocker verschlüsselte Partition ohne Schlüssel geöffnet werden kann.
Wenn man ein Microsoft-Konto hat, wird bei Windows 10/11 der Schlüssel im Microsoft-Konto abgelegt.
D.H. ja, Microsoft hat den Schlüssel, denn natürlich haben die Zugriff auf alle im Microsoft-Konto abgelegten Daten.
Wäre verwunderlich, wenn es anders wäre.
Das BSI warnte nicht ohne Grund eingangs mit Windows 8 vor TPM, fun Fact es war damals schon TPM 2.0 afaik.
Sobald auch auf „kompatibler“ Hardware nun Win11 installiert ist, schaltet man das aus, genauso wie SecureBoot, ganz einfach, bislang keine Probleme das Updates nicht gingen.
Das sag ich da dazu.
mfG
Bitlocker mag zwar bei normalen PCs und Notebooks Sinn machen, aber nicht bei z.B. einen Microsoft Surface und ähnlichen Geräten.
Denn da ist die SSD fest im Gerät integriert und lässt sich gar nicht ausbauen.
Daher ist da Bitlocker nutzlos.
Und welcher Dieb klaut denn nur die Festplatte?
Dazu müsste er ja den PC/das Norebook öffnen und die Festplatte ausbauen.
Das macht doch kein Dieb!
Der klaut gleich das komplette Gerät und damit ist Bitlocker nutzlos, da er ja auch gleich das TPM mit geklaut hat.
Der Mehrwert einer Festplattenverschlüsselung hält sich also sehr in Grenzen.
Sinn würde Bitlocker nur bei USB-Platten machen, aber das schränkt dann deren Verwendbarkeit als Wechseldatenträger arg ein.
Was will der Dieb denn klauen? Einen Briefbeschwerer, einen weiterverwertbaren Computer oder dessen Daten?
Selbst wenn der Computer zusammen mit Festplatte und TPM geklaut wird, dann steht da nach dem Booten immer noch nur „Bitte Windows Passwort eingeben“ und man kommt nicht weiter. Irgendwelche externen Passwort-Rücksetzungstools funktionieren nur, wenn sie Zugang zu den Daten haben. Und da kommen sie nicht ran, da die Festplattenverschlüsselung aktiv ist und das TPM aufgrund geänderter Bootumgebung nicht mitspielt.
Dieses „Bitte Windows Passwort eingeben“ kommt eben bei sehr vielen Privat-PCs nicht, weil die Benutzer kein Passwort eingeben wollen und daher die passwortlose Anmeldung konfiguriert haben.
Da braucht der Dieb nur den PC einzuschalten und hat Vollzugriff auf alles.
Insbesondere, da die allermeisten Privatnutzer mit Adminrechten arbeiten.
Und meist ist sogar der Remotezugriff mit Vollzugriff für „Jeder“ aktiviert.
Da braucht der Dieb den PC nur an ein Netzwerk hängen und per Netzwerk hat er dann Zugriff auf die Platte.
Selbst dann, wenn am PC selbst gar kein Nutzer angemeldet ist.
Und selbst wenn es sicher wäre:
TPM inkl. Bitlocker wurde schon geknackt.
Man KANN sich auch ein ausgewachsenes Krokodil zu Hause in der Badewanne halten.
Das bedeutet dann aber trotzdem nicht, dass Badewannen unsicher sind oder dass ein erwähnenswerter Teil der Bevölkerung regelmäßig von Krokodilen gefressen wird.
BitLocker ist gerade bei kompakten Geräten wie Tablets oder Convertibles sinnvoll – denn viele davon haben inzwischen wieder austauschbare SSDs, darunter auch div. Surface-Modelle.