Aeon Desktop 引入全面的全盘加密

全盘加密计划被引入到即将发布的 Aeon Desktop 的候选版本中，以增强用户的数据安全性。该功能预计将包含在即将到来的 Release Candidate 3 (RC3) 中。

全盘加密旨在保护设备丢失、被盗或未经授权启动到其他操作系统时的数据。根据系统的硬件配置，Aeon 的加密将在两种模式之一中设置：默认模式或备用模式。

默认模式

如果系统具备所需的硬件，默认模式是首选的加密方法。此模式利用 可信平台模块(TPM) 2.0 芯片组，并支持 PolicyAuthorizeNV (TPM 2.0 版本 1.38 或更高版本)。在此模式下，Aeon Desktop 会测量系统的多个完整性方面。这些包括

• UEFI 固件
• 安全启动状态（启用或禁用）
• 分区表
• 引导加载程序和驱动程序
• 内核和 initrd（包括内核命令行参数）

这些测量结果存储在系统的 TPM 中。启动期间，当前状态与存储的测量结果进行比较。如果匹配，系统将正常启动。如果发现差异，系统会提示用户输入安装期间提供的恢复密钥。此保障措施可确保未经授权的更改或篡改尝试被标记出来。

备用模式

当未检测到默认模式所需的硬件时，将采用备用模式。此模式要求用户在每次系统启动时输入密码。虽然它不会像默认模式那样全面地检查系统完整性，但强烈建议使用 安全启动以确保一定程度的安全性，确认引导加载程序和内核未被篡改。

与最初的担忧相反，尽管默认模式在启动时不需要密码，但它并不比备用模式安全性更低。默认模式中强大的完整性检查可以防止绕过正常身份验证方法的攻击。例如，它可以检测到内核命令行中的更改，否则可能允许未经授权的访问。此外，它还可以保护对 initrd 的修改，从而防止在备用模式下捕获密码。

安全启动虽然由于全面的完整性检查，在默认模式下是可选的，但在备用模式下对于维护系统安全至关重要。在备用模式下禁用 安全启动会增加受到篡改和旨在捕获密码的攻击的风险。

Aeon 的全盘加密实现提供了针对用户硬件能力的强大安全选项。通过提供默认模式和备用模式，Aeon 确保所有用户都可以从增强的数据保护中受益。

将此功能包含在 RC3 中标志着在保护用户数据免受潜在威胁方面迈出了重要一步。

鼓励 Aeon 用户阅读和收藏 Aeon 加密指南。