Close Menu
اعوجاج - پیشتاز در اخبار فناوری، آموزش و ترفندها !
آخرین اخبار در ایمیلتان
ترفندهای کامپیوتر

راه‌اندازی رمزگذاری کامل دیسک بر پایه TPM در اوبونتو

توسط
راه‌اندازی رمزگذاری کامل دیسک بر پایه TPM در اوبونتو

رمزگذاری کامل دیسک پشتیبانی‌شده با TPM در اوبونتو از تراشه‌ی TPM (ماژول پلتفرم مورد اعتماد) سیستم شما برای محافظت از کلید رمزگذاری دیسک استفاده می‌کند. این کار فرآیند باز کردن قفل در زمان بوت را به‌صورت خودکار انجام می‌دهد و نیازی به وارد کردن رمز عبور نیست. این روش، ریسک دسترسی غیرمجاز به داده‌ها را در صورتی که شخصی دیسک را جدا کرده و در دستگاه دیگری بخواهد باز کند، کاهش می‌دهد. همچنین، این شیوه با استانداردهای سازمانی مانند BitLocker در ویندوز یا FileVault در macOS هم‌راستا است. با این حال، تنظیم این قابلیت ممکن است دشوار باشد، به‌ویژه به دلیل پیکربندی‌های خاص BIOS/UEFI یا مشکلات سخت‌افزاری خاص.

فهرست مطالب نمایش

رمزگذاری کامل دیسک مبتنی بر TPM با استفاده از نصب‌کننده اوبونتو

مرحله ۱: آماده‌سازی سیستم برای نصب

پیش از شروع، از تمام داده‌های مهم خود نسخه پشتیبان تهیه کنید، چراکه این فرآیند کل دیسک را پاک خواهد کرد. برای استفاده از این قابلیت، سیستم شما باید دارای تراشه TPM 2.0 و سفت‌افزار UEFI باشد. مطمئن شوید سخت‌افزارتان از Secure Boot و قابلیت‌های TPM پشتیبانی می‌کند. آخرین فایل ISO اوبونتو دسکتاپ (نسخه ۲۴.۰۴ LTS یا جدیدتر) را از سایت رسمی دانلود و یک فلش USB قابل بوت بسازید.

مقاله‌های مرتبط

مرحله ۲: تنظیم BIOS/UEFI برای فعال‌سازی TPM و Secure Boot

وارد تنظیمات BIOS/UEFI سیستم شوید. گزینه TPM را فعال کنید (گاهی با نام “Security Chip” یا “TPM 2.0” نمایش داده می‌شود). اگر قبلاً TPM را استفاده کرده‌اید (مثلاً با BitLocker یا سیستم‌عامل دیگر)، آن را پاک یا ریست کنید تا کلیدهای قدیمی حذف شوند. این کار بسیار مهم است، چون کلیدهای باقی‌مانده یا وضعیت نادرست TPM ممکن است باعث شوند گزینه رمزگذاری مبتنی بر TPM در نصب‌کننده غیرفعال یا خاکستری شود. در برخی دستگاه‌ها، باید تنظیمات امنیتی را به حالت کارخانه بازگردانید یا گزینه‌ای برای پاک‌سازی TPM را انتخاب کنید. Secure Boot را نیز فعال کنید و در صورت درخواست، اجازه دهید گواهی‌نامه‌های UEFI شخص ثالث مایکروسافت نیز فعال باشند (به‌ویژه در دستگاه‌هایی مثل لنوو). سپس تنظیمات را ذخیره و از BIOS/UEFI خارج شوید.

مرحله ۳: اجرای نصب اوبونتو و انتخاب گزینه رمزگذاری مبتنی بر TPM

سیستم را با استفاده از فلش USB بوت کنید. وقتی به صفحه پارتیشن‌بندی رسیدید، به‌دنبال گزینه‌ای مانند “TPM-backed full disk encryption” یا “hardware-backed encryption” بگردید. اگر این گزینه غیرفعال بود، دوباره تنظیمات BIOS/UEFI را بررسی کرده و مطمئن شوید TPM فعال و پاک‌سازی شده است. گاهی بازنشانی کامل BIOS/UEFI به تنظیمات پیش‌فرض، مشکلات سخت‌گیرانه را حل می‌کند. پس از انتخاب گزینه مربوط به TPM، نصب را ادامه دهید. نصب‌کننده از LUKS برای رمزگذاری استفاده کرده و کلید رمز را در TPM ذخیره می‌کند تا فقط فرآیند بوت مجاز بتواند دیسک را باز کند.

مرحله ۴: تکمیل نصب و ذخیره کلیدهای بازیابی

در حین نصب ممکن است از شما خواسته شود که کلیدهای بازیابی را ذخیره کنید. با استفاده از دستوری مانند snap recovery --show-keys، کلیدها را مشاهده کرده و آن‌ها را به‌صورت امن ذخیره کنید. این مرحله بسیار حیاتی است: اگر وضعیت TPM تغییر کند یا سفت‌افزار سیستم به‌روزرسانی شود، ممکن است برای دسترسی دوباره به اطلاعات به این کلیدها نیاز داشته باشید. نصب را تکمیل کنید. پس از راه‌اندازی مجدد، سیستم باید به‌صورت خودکار و از طریق TPM دیسک رمزگذاری‌شده را باز کرده و مستقیماً شما را به صفحه ورود اوبونتو ببرد.

مرحله ۵: تست عملکرد و درک نکات امنیتی

پس از نصب، یک‌بار سیستم را کاملاً خاموش و دوباره روشن کنید تا مطمئن شوید دیسک به‌طور خودکار باز می‌شود. اگر سیستم در اولین بوت کلید بازیابی درخواست کرد، این نشان‌دهنده یک ناسازگاری یا پیکربندی نادرست در TPM یا Secure Boot است. به BIOS/UEFI بازگردید و تنظیمات را بررسی کنید. به یاد داشته باشید که اگرچه رمزگذاری مبتنی بر TPM از دسترسی به دیسک در صورت جدا کردن آن جلوگیری می‌کند، اما در زمانی که سیستم روشن است یا شخصی از صفحه ورود عبور کند، اطلاعات همچنان قابل دسترسی هستند. برای امنیت بیشتر، می‌توانید ورود رمز عبور در زمان بوت را نیز فعال کنید.

روش جایگزین: افزودن رمز عبور به رمزگذاری مبتنی بر TPM

برای کسانی که امنیت بالاتری نیاز دارند—مثلاً در برابر سرقت دستگاه خاموش—می‌توان TPM را با رمز عبور سنتی ترکیب کرد. این کار باعث می‌شود در زمان بوت علاوه بر تأیید TPM، وارد کردن رمز عبور نیز الزامی باشد. در زمان نصب یا پس از آن، می‌توانید یک کلید جدید با رمز عبور به دستگاه رمزگذاری‌شده اضافه کنید:

sudo cryptsetup luksAddKey /dev/your_encrypted_device

این روش مانع از باز شدن خودکار دیسک شده و فقط کاربران دارای رمز صحیح می‌توانند دیسک را رمزگشایی کنند، حتی اگر TPM به خطر افتاده باشد.

رفع مشکلات رایج

برخی دستگاه‌ها ممکن است گزینه رمزگذاری مبتنی بر TPM را به دلیل مشکلات سفت‌افزاری، ناسازگاری یا محدودیت‌های نصب‌کننده نمایش ندهند. در صورت بروز چنین مشکلی:

  • BIOS/UEFI سیستم را به آخرین نسخه به‌روزرسانی کنید.
  • TPM را از داخل BIOS/UEFI پاک کنید، نه از طریق سیستم‌عامل.
  • کلیدهای Secure Boot را بازنشانی یا تنظیمات امنیتی را به پیش‌فرض کارخانه بازگردانید.
  • در زمان نصب، درایورها یا ماژول‌های کرنل شخص ثالث را غیرفعال کنید.
  • در صورت شناسایی نشدن سخت‌افزار توسط نصب‌کننده پیش‌فرض، یک نسخه دیگر از ISO را امتحان کنید.
  • برای رفع مشکلات خاص سخت‌افزاری، به مستندات رسمی اوبونتو یا انجمن‌ها و پیگیری باگ‌ها مراجعه کنید.

نکات و محدودیت‌های امنیتی

رمزگذاری مبتنی بر TPM مانع از حملاتی می‌شود که در آن مهاجم سعی دارد دیسک شما را جدا کرده و در دستگاه دیگری بخواند. اما اگر مهاجم به سیستم روشن دسترسی پیدا کند یا از صفحه ورود عبور کند، داده‌ها همچنان در خطر هستند. در برخی سخت‌افزارهای سازمانی، حملات فیزیکی به TPM (مثل جداسازی تراشه یا بهره‌برداری از آسیب‌پذیری‌ها) از نظر تئوری ممکن است، اما نیازمند منابع بالا هستند. برای اکثر کاربران، این روش توازن خوبی بین امنیت و راحتی ایجاد می‌کند. اما کاربران با ریسک بالا بهتر است از رمز عبور اضافی یا سخت‌افزار ضد‌دستکاری استفاده کنند.

جمع‌بندی

رمزگذاری کامل دیسک مبتنی بر TPM در اوبونتو، فرآیند بوت امن و حفاظت از داده‌ها را ساده می‌کند، اما نیازمند تنظیم دقیق BIOS/UEFI و مدیریت کلیدهای بازیابی است. همواره پیکربندی خود را تست کرده و کلیدهای بازیابی را در مکان امنی ذخیره کنید تا در صورت نیاز، بتوانید به اطلاعات خود دسترسی داشته باشید.

منبع :
allthings
اشتراک گذاری.
Avatar

علاقمند به فناوری و تکنولوژی هستم و عاشق اینم که درباره جدیدترین تکنولوژی های روز دنیا بدونم. به خاطر همین هم کارشناسی مهندسی کامپیوتر خوندم.

پیشنهاد اعوجاج

دیدگاه‌ها و نظرات خود را بنویسید

جدیدترین ترفندها