Linuxeden开源社区去年在 Linux 6.10 中引入了 TPM 总线加密和集成保护,用于处理可信平台模块 2(TPM2)。这一举措旨在提高 TPM 安全性,因为在之前的安全演示中,已经展示了从微软 Windows BitLocker 中恢复 TPM 密钥以及 TPM 窃听攻击。在合并后不久,这一功能仅限于 x86_64 默认设置,因为当时在该平台上进行了最多的测试。现在,一年多以后,这一功能在主线 Linux 内核中被默认禁用。
今天合并到 Linux 6.18 中,并标记为向后移植到 Linux 6.10+(嗯,自那时起仍在维护的 Linux 内核版本,如 Linux 6.12 LTS 和 Linux 6.17)的是默认禁用 TCG_TPM2_HMAC Kconfig。TCG_TPM2_HMAC 仍将可供那些希望在 TPM 总线上使用 HMAC 和加密事务的用户使用,但不再会默认开启 Linux x86_64 内核构建。
今天,随着这个拉取请求的合并,代码已被合并以默认禁用此选项。其他开发者也认为这会增加太多的运行时开销,而带来的好处不足以在主分支内核中默认启用。
希望现在默认禁用后,Linux 内核开发者可以花更多时间评估安全效益和性能优化,以便在未来某个 Linux 内核版本中值得默认启用。
转自 Linux Now Disabling TPM Bus Encryption By Default For Performance Reasons – Phoronix