Linux 6.18 disattiverà la funzionalità di crittografia e protezione dell’integrità del bus TPM (Trusted Platform Module 2) per motivi prestazionali. Introdotta lo scorso anno con Linux 6.10, mirava a migliorare la sicurezza del TPM contro attacchi come il recupero delle chiavi da Microsoft Windows BitLocker e lo sniffing del bus TPM. Tuttavia, dopo un anno di utilizzo e valutazioni, gli sviluppatori hanno deciso di disattivarla poiché la funzione penalizza troppo le prestazioni del sistema.
Linux 6.18: gli sviluppatori disabilitano la crittografia TPM
Implementata per la prima volta in Linux 6.10, la funzionalità permette transazioni crittografate e autenticazione tramite HMAC sul bus TPM, rafforzando la sicurezza contro attacchi che potrebbero compromettere le chiavi crittografiche. Inizialmente, questa opzione era abilitata predefinitivamente solo per le versioni x86_64 del kernel, che l’hanno rodata molto. Tuttavia, il sovraccarico prestazionale ne ha nuovamente messo in discussione la presenza.
L’ultimo aggiornamento per Linux 6.18 disattiva quindi la crittografia. La modifica, approvata tramite una richiesta di inserimento, sarà retroportata anche alle versioni del kernel ancora supportate, come Linux 6.12 LTS e Linux 6.17. Gli utenti che desiderano continuare a utilizzare la crittografia del bus TPM possono comunque abilitare manualmente l’opzione TCG_TPM2_HMAC durante la configurazione del kernel.
Stando agli sviluppatori, il motivo principale di questa scelta è il significativo overhead computazionale generato dalla funzione, che non sembra giustificato dai benefici in termini di sicurezza per la maggior parte degli scenari d’uso. Gli sviluppatori hanno quindi concordato che la funzione non offre un rapporto costi-benefici sufficiente per essere mantenuta attiva nel kernel.
Optando per una politica di ottimizzazione di Linux, la disabilitazione consentirà di non appesantire inutilmente il sistema, garantendo più prestazioni. Tuttavia i test continueranno, per verificare se nel tempo l’overhead può essere risolto in modo che la funzione possa tornare attiva.
Linux 6.18 è nel frattempo disponibile nella sua prima versione release candidate per i test pubblici.
