将于下个月发布的 Ubuntu 23.10 增加了一项实验性功能——初步支持基于 TPM 的全磁盘加密。该功能利用系统的可信平台模块 (TPM)，缺点是这种额外的安全性依赖于 Snaps，包括内核和 GRUB 引导加载器。

Ubuntu 开发商 Canonical 公司表示，Ubuntu 23.10 添加实验性 TPM 支持的全磁盘加密，以补充他们多年来一直提供的全磁盘加密。由于没有 TPM 集成。这将适用于经典的 Ubuntu 桌面系统。

从最初提供基于 eCryptfs 的主目录加密，然后补充了 Ubuntu 桌面和服务器的全磁盘加密。多年来，Ubuntu 支持了各种形式的磁盘加密，再到现在支持基于 TPM 的全磁盘加密。

不过此功能可能会让一些 Ubuntu 用户不满，因为这种 TPM 支持的全磁盘加密依赖于他们备受争议的 Snaps 打包格式进行交付。

Canonical 在公告解释道：

“经典 Ubuntu 桌面系统上的 TPM 支持的全磁盘加密基于 Ubuntu Core 相同的架构，它共享许多设计和实现原则。换句话说，引导加载程序 (shim 和 GRUB) 和内核资产将以 Snap 软件包的形式交付（通过 gadget 和 kernel snaps），而不是作为 Debian 软件包交付。

因此，Snapd 代理将负责在其生命周期内管理全磁盘加密。 引导加载程序逻辑包括引导模式选择和内核选择，编码在由 Snapd 提供的 GRUB 配置中，而不是在设备上自动生成。

最后，我们将使用统一内核映像，其中内核和 initramfs 将封装在一个包含执行内核的小存根的单个 PE 二进制文件中。这将作为单个工件进行签名。”

详情：https://ubuntu.com/blog/tpm-backed-full-disk-encryption-is-coming-to-ubuntu