Pengembang kernel Linux telah menonaktifkan enkripsi bus TPM secara default dalam pembaruan terbaru untuk mengatasi masalah performa. Perubahan ini, yang diperkenalkan setelah fitur di Linux 6.10, memprioritaskan efisiensi daripada keamanan dalam banyak kasus penggunaan. Keputusan ini mencerminkan umpan balik komunitas tentang keseimbangan perlindungan terhadap perlambatan pada operasi yang bergantung pada TPM.
Penanganan kernel Linux terhadap teknologi Trusted Platform Module (TPM) mengalami penyesuaian kunci dengan penonaktifan enkripsi bus TPM default. Perubahan ini terjadi setelah pengenalan fitur enkripsi dan integritas HMAC TPM2 di Linux 6.10, yang bertujuan melindungi dari serangan seperti pencurian TPM atau kompromi berbasis interposer yang dapat mencegat data sensitif seperti kunci pemulihan.
Pengujian benchmark menunjukkan bahwa perlindungan ini menyebabkan overhead signifikan, menyebabkan penurunan performa hingga 10% pada operasi seperti enkripsi disk dan boot aman, terutama pada perangkat keras tanpa implementasi TPM yang dioptimalkan. Kontributor kernel James Bottomley mencatat bahwa meskipun fitur tersebut tetap tersedia melalui parameter kernel, penonaktifannya secara default memprioritaskan efisiensi untuk sebagian besar pengguna yang mungkin tidak menghadapi ancaman berisiko tinggi.
Langkah ini menyoroti perdebatan berkelanjutan di komunitas Linux. Pendukung keamanan berpendapat bahwa hal itu dapat memperkenalkan kerentanan di pengaturan perusahaan yang bergantung pada TPM untuk arsitektur zero-trust. Namun, untuk penyebaran umum seperti server cloud atau perangkat tertanam, dampak performa dianggap tidak dapat diterima tanpa bukti eksploitasi luas pada bus TPM yang tidak terenkripsi.
Spesifikasi TPM2 dari Trusted Computing Group menekankan enkripsi untuk melawan serangan man-in-the-middle pada bus seperti SPI atau I2C. Namun, masalah kompatibilitas muncul dengan perangkat keras lama, termasuk beberapa modul PTT Intel yang gagal inisialisasi dalam mode AES-128-CFB, seperti yang didokumentasikan di ArchWiki. Menonaktifkan default menyelesaikan masalah ini, dengan pengguna dapat mengaktifkannya menggunakan parameter seperti tpm_security=1.
Umpan balik komunitas mendorong perubahan ini, dimulai dengan arsitektur non-x86 sebelum pembalikan penuh. Distro termasuk Fedora dan Ubuntu sedang memperbarui panduan mereka untuk menyarankan penggunaan opt-in. Ke depan, pemelihara mempertimbangkan pendekatan hibrida, seperti HMAC yang dipercepat perangkat keras atau toggle per-perangkat, dengan peningkatan potensial di Linux 6.13. Kritikus di sektor seperti keuangan dan pemerintahan memperingatkan terhadap risiko di mana komunikasi terenkripsi esensial, menekankan kebutuhan pendidikan pengguna tentang model ancaman.