> Экспериментальная поддержка в инсталляторе опции для полнодискового шифрования c задействованием TPM (Trusted Platform Module) для выполнения криптографических операций. Вот это годно. А то оно есть уже 8 лет в каждой мамке Intel и 6 лет в каждом проце AMD, а до сих пор нужно настраивать через какие-то хуки systemd и консольные заклинания.
https://wiki.archlinux.org/title/Trusted_Platform_Module#Dat...
Для тех, кто не понимает, зачем это нужно - это позволяет:
- организовать защиту в многопользовательской среде. Что невозможно сделать, если использовать лишь классическое шифрование с паролем. Ведь придётся пароль сообщить каждому пользователю, чтобы пользователи могли загрузить ОС. Зная пароль шифрования любой из них может загрузиться с LiveCD, расшифровать системный раздел и воткнуть в системный раздел кейлоггер или ещё какую-то дрянь. Если же настроить прозрачную расшифровку накопителя с помощью TPM, то всё получается очень красиво: системный раздел расшифровывается при загрузке автоматически, за то, чтобы пользователь не вошёл в учётку других пользователей отвечает аутентификация ОС, а при загрузке с LiveCD накопитель просто не расшифруется - TPM его расшифровывывает лишь при загрузке штатным образом.
- в однопользовательской среде (1 пк = 1 пользователь) затруднить атакующему жизнь - ему придётся либо брутить шифрование на этой самой машине, либо ещё и вытаскивать ключ из TPM. При этом, разумеется, стоит использовать TPM в комбинации со стойким паролем, чтобы после добывания ключа потирающий руки атакующий осознал, что теперь ему придётся миллион лет брутить ваш пароль шифрования, ведь TPM был лишь лёгкой разминкой, первой линией обороны. А параноики могут вообще использовать связку "TPM + пароль + ключевой_файл". Максимальная защита: если успел уничтожить флешку с ключевым файлом - никто не расшифрует диск, даже небо, даже Аллах. Если же у тебя спёрли ПК вместе с флешкой, то никто тоже не расшифрует диск - нужен ещё и пароль. А если у тебя при обыске изъяли лишь жесткий диск и заставили сказать пароль, то, опять же, диск не расшифруется, TPM-модуль-то не взяли.