Aeon 桌面推出全面的全盘加密

我们计划在即将推出的 Aeon Desktop 候选发布版本中引入全盘加密，以增强用户的数据安全性。该功能预计将包含在即将发布的候选版本 3 (RC3) 中。

全磁盘加密的目的是在设备丢失、被盗或未经授权启动到其他操作系统的情况下保护数据。根据系统的硬件配置，Aeon 的加密将设置为两种模式之一：Default 或 Fallback。

Default 模式

如果系统具有所需的硬件，则 Default 模式是首选加密方法。此模式利用支持 PolicyAuthorizeNV 的可信平台模块 (TPM) 2.0 芯片组（TPM 2.0 版本 1.38 或更高版本）。在此模式下，Aeon Desktop 会测量系统完整性的多个方面。检测容包括：

• UEFI 固件
• 安全启动状态（启用或禁用）
• 分区表
• 引导加载程序和驱动程序
• 内核和 initrd （包括内核命令行参数）

这些测量结果存储在系统的 TPM 中。在启动期间，Aeon 会将当前状态与存储的测量值进行比较。如果结果匹配，系统将正常启动。如果发现差异，系统会提示用户输入安装期间提供的恢复密钥。此保护措施可确保标记未经授权的更改或篡改尝试。

Fallback 模式

当未检测到默认模式所需的硬件时，将采用 Fallback 模式。该模式要求用户在每次系统启动时输入密码。虽然它不像默认模式那样全面检查系统完整性，但强烈建议使用安全启动来确保一定程度的安全性，确认引导加载程序和内核未被篡改。

与最初的担忧相反，尽管启动时不需要密码，但 Default 模式的安全性并不比 Fallback 模式低。Default 模式下的强大完整性检查可防止绕过正常身份验证方法的攻击。例如，它可以检测内核命令行的更改，防止可能允许未经授权的访问。此外，它还可以防止对 initrd 进行修改，从而防止在 Fallback 模式下潜在的密码捕获。

由于全面的完整性检查，安全启动在 Default 模式下是可选的，但在 Fallback 模式下对于维护系统安全至关重要。在 Fallback 模式下禁用安全启动会增加针对意图捕获密码短语的篡改和攻击的脆弱性。

Aeon 实施的全盘加密提供了针对用户硬件功能量身定制的强大安全选项。通过提供 Default 模式和 Fallback 模式，Aeon 确保所有用户都能受益于增强的数据保护。

RC3 中包含此功能标志着 Aeon 在保护用户数据免受潜在威胁方面向前迈出了重要一步。我们鼓励 Aeon 用户阅读 Aeon 加密指南并为其添加书签。

---

原文：Aeon Desktop Introduces Comprehensive Full Disk Encryption，作者：Douglas DeMaio