https://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html
TL;DR:
Linux has been supporting Full Disk Encryption (FDE) and technologies such as UEFI SecureBoot and TPMs for a long time. However, the way they are set up by most distributions is not as secure as they should be, and in some ways quite frankly weird. In fact, right now, your data is probably more secure if stored on current ChromeOS, Android, Windows or MacOS devices, than it is on typical Linux distributions.
Перевод TL;DR:
Линукс уже давно поддерживает полнодисковое шифрование (FDE) и технологии вроде UEFI SecureBoot и TPM. Однако настроены в большинстве дистрибутивов они не так безопасно, как могло бы быть, а в некоторых случаях — и вовсе откровенно странно. На самом деле, на настоящий момент вашим данным безопаснее храниться на устройствах с актуальной версией Android, Windows или MacOS, нежели на типичном дистрибутиве линукса.
Далее в статье наше счастье рассказывает об ужасах evil maid-аттак, недоумевает, почему SecureBoot останавливается на подписи ядра, и обычно уже даже не покрывает валидацию initramfs, сетует на недостаточную примененность TPM и, естественно, наглядно в табличках объясняет нам, как на самом деле надо было. Явно прослеживается впечатление от MS с их свежими экспериментами по аутентификации.
Перемещено xaizek из admin
