نواة لينكس تعطل تشفير حافلة TPM افتراضيًا لأسباب تتعلق بالأداء

شهد التعامل مع نواة لينكس لتقنية وحدة المنصة الموثوقة (TPM) تعديلًا رئيسيًا مع تعطيل التشفير الافتراضي لحافلة TPM. حدث هذا التحول بعد تقديم ميزات تشفير HMAC ونزاهة TPM2 في لينكس 6.10، والتي تهدف إلى الحماية من هجمات مثل تجسس TPM أو الاختراقات القائمة على الوسيط الذي يمكن أن يعترض بيانات حساسة مثل مفاتيح الاسترداد.

أظهرت الاختبارات أن هذه الحمايات تسببت في عبء كبير، مما أدى إلى انخفاض في الأداء يصل إلى 10% في عمليات مثل تشفير القرص والإقلاع الآمن، خاصة على الأجهزة غير المحسنة لتنفيذ TPM. أشار مساهم النواة جيمس بوتوملي إلى أن الميزة لا تزال متاحة عبر معلمات النواة، لكن تعطيلها الافتراضي يعطي الأولوية للكفاءة لمعظم المستخدمين الذين قد لا يواجهون تهديدات عالية المخاطر.

يبرز هذا الإجراء المناقشات المستمرة في مجتمع لينكس. يجادل المدافعون عن الأمان بأنه قد يقدم ثغرات أمنية في الإعدادات المؤسسية التي تعتمد على TPM للهياكل المعمارية ذات الثقة الصفرية. ومع ذلك، بالنسبة للنشر الشائع مثل خوادم السحابة أو الأجهزة المضمنة، اعتبر التأثير على الأداء غير مقبول دون دليل على استغلال واسع النطاق لحافلات TPM غير المشفرة.

تؤكد مواصفات TPM2 من مجموعة الحوسبة الموثوقة على التشفير لمواجهة هجمات الرجل في الوسط على الحافلات مثل SPI أو I2C. ومع ذلك، نشأت مشكلات توافق مع الأجهزة القديمة، بما في ذلك بعض وحدات PTT من إنتل التي فشلت في التهيئة في وضع AES-128-CFB، كما هو موثق في ArchWiki. تعطيل الافتراضي يحل هذه المشكلات، مع إمكانية تمكينه من قبل المستخدمين باستخدام معلمات مثل tpm_security=1.

دفعت ردود الفعل من المجتمع التغيير، بدءًا من الهياكل غير x86 قبل عكس كامل. تُحدث التوزيعات بما في ذلك Fedora وUbuntu دليلها لنصح بالاستخدام الاختياري. نحو المستقبل، يفكر المحافظون في نهج هجين، مثل HMAC المعجل بالأجهزة أو التبديلات لكل جهاز، مع تحسينات محتملة في لينكس 6.13. يحذر النقاد في قطاعات مثل التمويل والحكومة من المخاطر حيث تكون الاتصالات المشفرة أساسية، مشددين على الحاجة إلى تثقيف المستخدمين حول نماذج التهديدات.