Как защита BitLocker влияет на производительность и почему Linux перестал использовать TPM-шифрование по умолчанию

Производительность побеждает: Linux меняет подход к защите TPM

Разработчики ядра Linux решили пересмотреть политику включения защиты взаимодействия с Trusted Platform Module 2.0. Функция, добавленная ещё в версии Linux 6.10, теперь не будет активирована по умолчанию.

Напомним, поддержка шифрования шины и защиты обмена данными с TPM появилась после демонстраций атак, в которых исследователи смогли перехватывать трафик и восстанавливать ключи BitLocker. Тогда новая функция автоматически включалась для архитектуры x86_64, где её успели протестировать.

Однако спустя год разработчики пришли к выводу, что текущее решение заметно снижает производительность системы. По их словам, дополнительное шифрование трафика между системой и TPM создаёт ощутимую нагрузку, а прирост безопасности пока не настолько значителен, чтобы оправдать включение этой функции у всех пользователей.

Изменение уже вошло в релиз Linux 6.18 и отмечено для обратного портирования в ветки, начавшиеся с 6.10, включая 6.12 LTS и 6.17. Речь идёт о параметре TCG_TPM2_HMAC, который теперь будет отключён по умолчанию, но останется доступен для ручной активации.

Таким образом, пользователи смогут сами выбирать приоритет — максимальная защита или высокая скорость работы. При необходимости включить HMAC и шифрование шины TPM можно вручную при сборке ядра или через настройки дистрибутива.

Разработчики подчеркивают, что функция никуда не исчезает: цель изменений — дать возможность доработать и оптимизировать код, чтобы в будущем вернуть включение по умолчанию без ущерба для производительности.