Utvecklarna av Linuxkärnan har inaktiverat TPM-busskryptering som standard i senaste uppdateringar för att hantera prestandaproblem. Denna förändring, introducerad efter funktioner i Linux 6.10, prioriterar effektivitet framför säkerhet i många användningsfall. Beslutet speglar communityns feedback om att balansera skydd mot fördröjningar i TPM-beroende operationer.
Linuxkärnans hantering av Trusted Platform Module (TPM)-teknik såg en viktig justering med inaktiveringen av standard TPM-busskryptering. Denna förändring skedde efter introduktionen av TPM2 HMAC-kryptering och integritetsfunktioner i Linux 6.10, inriktade på att skydda mot attacker som TPM-sniffning eller interposerbaserade kompromisser som kunde avlyssna känslig data som återställningsnycklar.
Benchmarking visade att dessa skydd orsakade betydande overhead, vilket ledde till upp till 10 % prestandaförlust i operationer som disk-kryptering och säker start, särskilt på hårdvara utan optimerade TPM-implementationer. Kärnans bidragsgivare James Bottomley noterade att även om funktionen förblir tillgänglig via kärnparametrar, prioriterar dess standardinaktivering effektivitet för de flesta användare som kanske inte står inför högriskhot.
Detta drag belyser pågående debatter i Linux-communityn. Säkerhetsförespråkare hävdar att det kan introducera sårbarheter i företagsmiljöer som förlitar sig på TPM för zero-trust-arkitekturer. Dock sågs prestandapåverkan som oacceptabel för vanliga deploymenter som molnservrar eller inbäddade enheter utan bevis på utbredda utnyttjanden av okrypterade TPM-bussar.
TPM2-specifikationen från Trusted Computing Group betonar kryptering för att motverka man-in-the-middle-attacker på bussar som SPI eller I2C. Ändå uppstod kompatibilitetsproblem med äldre hårdvara, inklusive vissa Intel PTT-moduler som misslyckades med initialisering i AES-128-CFB-läge, som dokumenterats i ArchWiki. Att inaktivera standarden löser dessa problem, med användare som kan aktivera det med parametrar som tpm_security=1.
Communityns feedback drev förändringen, som började med icke-x86-arkitekturer innan en fullständig återställning. Distributioner inklusive Fedora och Ubuntu uppdaterar sina guider för att rekommendera opt-in-användning. Framåt överväger underhållare hybridmetoder, såsom hårdvaruaccelererad HMAC eller enhets-specifika brytare, med potentiella förbättringar i Linux 6.13. Kritiker i sektorer som finans och regering varnar för risker där krypterad kommunikation är essentiell, och betonar behovet av användarutbildning om hotmodeller.