Ubuntu 23.10 terá suporte completo ao TPM

Snaps & Ubuntu Core Desktop são temas do FOSDEM 2024
ubuntu

Em breve, o Ubuntu oferecerá criptografia de disco completo com suporte a TPM (Trusted Platform Module), um recurso que aumenta a segurança dos dados armazenados no disco rígido. Neste post, vamos explicar o que é TPM, como ele funciona e como ele pode ser usado para proteger os dados do seu Ubuntu.

O que é TPM?

TPM é um chip de segurança que está presente em muitos computadores modernos. Ele serve como um cofre digital, onde são guardadas informações sensíveis, como chaves de criptografia, senhas e certificados. Essas informações só podem ser acessadas pelo próprio chip, que as usa para realizar operações criptográficas sem expô-las ao sistema operacional ou a aplicativos maliciosos.

Como o TPM funciona?

O TPM funciona em conjunto com o software de criptografia de disco, como o LUKS (Linux Unified Key Setup), que é usado pelo Ubuntu. O LUKS cria uma chave mestra que é usada para criptografar e descriptografar os dados do disco. Essa chave mestra é armazenada no TPM, que a libera apenas quando o computador é inicializado de forma correta e autenticada.

Isso significa que, se alguém tentar acessar os dados do disco removendo-o do computador ou usando um sistema operacional diferente, não conseguirá descriptografá-los, pois não terá acesso à chave mestra. Além disso, se alguém tentar alterar o software ou o hardware do computador, o TPM detectará a mudança e invalidará a chave mestra, tornando os dados inacessíveis.

Como o TPM pode ser usado no Ubuntu?

O Ubuntu já suporta o uso de TPM para criptografia de disco desde a versão 20.04 LTS (Focal Fossa), mas requer alguns passos manuais para configurá-lo. A partir da versão 22.04 LTS (Jammy Jellyfish), que será lançada em abril de 2022, o Ubuntu oferecerá uma opção fácil e automática para habilitar a criptografia de disco com suporte a TPM durante a instalação do sistema.

Para usar essa opção, basta selecionar a opção “Criptografar o novo sistema Ubuntu para maior segurança” na tela de particionamento do disco. O instalador verificará se o seu computador possui um chip TPM e, se sim, usará-o para armazenar a chave mestra do LUKS. Você também precisará definir uma senha que será usada para desbloquear o disco na inicialização.

Se o seu computador não possuir um chip TPM, você ainda poderá usar a criptografia de disco, mas sem o benefício adicional da proteção do TPM. Nesse caso, a chave mestra do LUKS será armazenada no próprio disco, mas protegida por uma senha forte.

Por que usar a criptografia de disco com suporte a TPM?

A criptografia de disco com suporte a TPM oferece uma camada extra de segurança para os seus dados, especialmente se você usa um computador portátil ou compartilha o seu computador com outras pessoas. Ela impede que alguém possa acessar os seus dados sem a sua permissão, mesmo se tiver acesso físico ao seu disco rígido.

Além disso, a criptografia de disco com suporte a TPM facilita o gerenciamento das chaves de criptografia, pois elas são geradas e armazenadas pelo próprio chip, sem necessidade de intervenção do usuário. Isso também reduz o risco de perda ou vazamento das chaves.

A criptografia de disco com suporte a TPM é compatível com outros recursos de segurança do Ubuntu, como o Secure Boot, que verifica a integridade do software na inicialização, e o AppArmor, que restringe as permissões dos aplicativos. Juntos, esses recursos tornam o Ubuntu um sistema operacional seguro e confiável para os seus dados.