Windows 和 Ubuntu 裝置加密的更新:比較概述
2024 年初,微軟對加密領域進行了重大調整,降低了 Windows 11 版本 24H2 中對自動裝置加密 (Auto DE) 的要求。此更新允許運行家庭版的系統啟用自動加密,而此前此功能僅限於專業版和企業版。此修改的目的是增強更廣泛設備上使用者資料的安全性。
然而,這種轉變也帶來了潛在的挑戰。許多用戶可能沒有意識到他們的系統現在已被加密,並可能無意中忽略了安全儲存 BitLocker 復原金鑰的重要性。報告顯示,這種疏忽導致一些用戶丟失了大量數據,凸顯了加強對這些加密流程的認知和培訓的必要性。
為了降低此風險,微軟鼓勵使用者使用 Microsoft 帳戶登入。此方法有助於備份自動 DE 復原金鑰,為經驗不足的使用者提供保障。然而,還有一個關鍵的考慮因素:如果用戶忘記了恢復訊息,重新訪問其數據可能會變得很麻煩。
Canonical 推出基於 TPM 的全裝置加密
值得一提的是,Canonical 即將在 Ubuntu 25.10 中提升加密功能,該版本將支援基於可信任平台模組 (TPM) 的全裝置加密 (FDE)。此功能已開發一段時間,並在 24.10 版本發佈時報告了初步進展。目前,該功能仍處於實驗階段,主要用於相容的系統。
對於選擇「基於硬體的加密」的用戶,Ubuntu 計劃透過一個互動式對話方塊來增強清晰度,該對話方塊會通知用戶加密過程中檢測到的任何問題。在 Canonical 提供的演示範例中,使用者可能會遇到特定的錯誤,例如 PCR7 和 PC4,從而幫助他們有效地進行故障排除。
Canonical 方法中的以使用者為中心的功能
該計劃的獨特之處在於其用戶友好的設計。與 Windows 11 不同,Ubuntu 使用者擁有關於硬體 TPM 加密的明確選項。此外,管理員將能夠重新產生密鑰——類似於各種平台上常見的「忘記密碼」功能。 Canonical 強調,管理員可以輕鬆取得新金鑰,從而提升使用者的整體安全性。
此外,新的 Ubuntu 版本包含一個警告系統,每當嘗試進行韌體更新時,都會發出有關復原金鑰備份的警告。 Canonical 明確了對用戶保護的承諾,並指出:
…我們希望保護用戶,避免他們在不知道恢復金鑰的情況下更新韌體。否則,他們將無法重新啟動設備,因為系統會提示輸入他們手邊沒有的恢復金鑰。因此,在韌體更新程式中應用任何更新之前,我們都會要求輸入恢復金鑰,並進行仔細檢查!
值得注意的是,Windows 也實施了類似的警告,並且可能會在韌體更新期間暫停 BitLocker;但是,這會根據 OEM 的決策和配置而有所不同。
此外,無論 Ubuntu 本身是否加密,Canonical 都會主動提醒使用者裝置上的加密安裝。這種包容性至關重要,尤其是對於與其他作業系統(例如具有 BitLocker 的 Windows)雙啟動的系統。該公司聲明:
另一個用例是,即使您的 Ubuntu 安裝未啟用 TPM/FDE,韌體升級也會影響其他與 TPM 相關的安裝。例如,如果您的電腦上安裝了其他作業系統(例如 Windows)並安裝了 BitLocker,並且您從 Ubuntu 系統更新了某些韌體或 DBX,Windows 會在下次啟動時提示您輸入 BitLocker 復原金鑰。如果我們偵測到這種情況,我們會在讓用戶升級韌體之前顯示警告。
總而言之,Canonical 正在採取預防措施,防止因金鑰遺失和加密事故而導致的資料遺失,這體現了其軟體以用戶為中心的理念。如需了解更多有關這些進展的詳細信息,請訪問官方公告部落格文章。
欲了解更多見解,請查看來源。
發佈留言