
Windows 和 Ubuntu 设备加密的更新:比较概述
2024 年初,微软对加密领域进行了重大调整,降低了 Windows 11 版本 24H2 中对自动设备加密 (Auto DE) 的要求。此更新允许运行家庭版的系统启用自动加密,而此前此功能仅限于专业版和企业版。此修改的目的是增强更广泛设备上用户数据的安全性。
然而,这种转变也带来了潜在的挑战。许多用户可能没有意识到他们的系统现在已被加密,并可能无意中忽视了安全存储 BitLocker 恢复密钥的重要性。报告显示,这种疏忽导致一些用户丢失了大量数据,这凸显了加强对这些加密流程的认知和培训的必要性。
为了降低此风险,微软鼓励用户使用 Microsoft 帐户登录。此方法有助于备份自动 DE 恢复密钥,为经验不足的用户提供保障。然而,还有一个关键的考虑因素:如果用户忘记了恢复信息,重新访问其数据可能会变得很麻烦。
Canonical 推出基于 TPM 的全设备加密
值得一提的是,Canonical 即将在 Ubuntu 25.10 中提升加密功能,该版本将支持基于可信平台模块 (TPM) 的全设备加密 (FDE)。此功能已开发一段时间,并在 24.10 版本发布时报告了初步进展。目前,该功能仍处于实验阶段,主要用于兼容的系统。

对于选择“基于硬件的加密”的用户,Ubuntu 计划通过一个交互式对话框来增强清晰度,该对话框会通知用户加密过程中检测到的任何问题。在 Canonical 提供的演示示例中,用户可能会遇到特定的错误,例如 PCR7 和 PC4,从而帮助他们有效地进行故障排除。
Canonical 方法中的以用户为中心的功能
该计划的独特之处在于其用户友好的设计。与 Windows 11 不同,Ubuntu 用户拥有关于硬件 TPM 加密的明确选项。此外,管理员将能够重新生成密钥——类似于各种平台上常见的“忘记密码”功能。Canonical 强调,管理员可以轻松获取新密钥,从而提升用户的整体安全性。

此外,新的 Ubuntu 版本包含一个警告系统,每当尝试进行固件更新时,都会发出有关恢复密钥备份的警告。Canonical 明确了其对用户保护的承诺,并指出:
…我们希望保护用户,避免他们在不知道恢复密钥的情况下更新固件。否则,他们将无法重启设备,因为系统会提示输入他们手头没有的恢复密钥。因此,在固件更新程序中应用任何更新之前,我们都会要求输入恢复密钥,并进行仔细检查!

值得注意的是,Windows 也实施了类似的警告,并且可能会在固件更新期间暂停 BitLocker;但是,这会根据 OEM 的决策和配置而有所不同。
此外,无论 Ubuntu 本身是否加密,Canonical 都会主动提醒用户设备上的加密安装。这种包容性至关重要,尤其是对于与其他操作系统(例如带有 BitLocker 的 Windows)双启动的系统。该公司声明:
另一个用例是,即使您的 Ubuntu 安装未启用 TPM/FDE,固件升级也会影响其他与 TPM 相关的安装。例如,如果您的计算机上安装了其他操作系统(例如 Windows)并安装了 BitLocker,并且您从 Ubuntu 系统更新了某些固件或 DBX,Windows 会在下次启动时提示您输入 BitLocker 恢复密钥。如果我们检测到这种情况,我们会在让用户升级固件之前显示警告。
总而言之,Canonical 正在采取预防措施,防止因密钥丢失和加密事故而导致的数据丢失,这体现了其软件以用户为中心的理念。如需了解更多有关这些进展的详细信息,请访问官方公告博客文章。
欲了解更多见解,请查看来源。
发表回复