Med Ubuntu 25.10, kodnamn Questing Quokka, tar Ubuntu ett viktigt steg mot starkare datasäkerhet. En av de mest spännande nyheterna i denna version är fullständig diskkryptering (FDE) med stöd av TPM, Trusted Platform Module.
Den här funktionen bygger vidare på Ubuntus befintliga krypteringsstöd, men lägger till en hårdvarubaserad säkerhetskontroll som skyddar systemet redan från uppstarten – och gör det svårare för angripare att kringgå skyddet.
Vad är fullständig diskkryptering (FDE)?
FDE innebär att hela innehållet på din hårddisk krypteras, vilket gör det oläsligt utan rätt nyckel. Om datorn skulle stjälas, går det inte att komma åt datan utan att först låsa upp disken. Ubuntu har länge erbjudit FDE som ett val under installationen, där du anger ett lösenord som krävs varje gång systemet startas.
Vad tillför TPM-stödet?
TPM (Trusted Platform Module) är ett inbyggt säkerhetschip som finns i de flesta moderna datorer. Ubuntu 25.10 kan nu använda detta chip som en del av krypteringskedjan, vilket möjliggör:
- Integritetskontroll vid uppstart
TPM verifierar att inget i systemets firmware eller bootloader har ändrats sedan installationen. Om något avviker, vägrar TPM låsa upp disken. - Automatisk upplåsning på betrodd maskinvara
Så länge systemet är oförändrat, låser TPM upp disken utan att du behöver skriva in något lösenord – om du inte aktiverat dubbelt skydd. - Skydd mot fysisk åtkomst
Försöker någon flytta hårddisken till en annan dator, eller ändra hårdvaran, fungerar inte upplåsningen – och systemet kräver återställningsnyckeln.
Nyheter i Ubuntu 25.10:s implementation
Ubuntu har arbetat med TPM/FDE sedan version 23.10. I 25.10 är funktionen fortfarande experimentell, men redo att testas av fler. Här är de viktigaste nyheterna:
1. Automatisk kompatibilitetskontroll
Installationsprogrammet kontrollerar att systemet har ett modernt TPM-chip utan kända sårbarheter. Om din dator inte klarar kraven, visas inga alternativ för hårdvarubaserad kryptering – i stället får du en tydlig varning.
2. Återställningsnyckel – din säkerhetslina
När TPM-stödet aktiveras skapas en återställningsnyckel. Den används i nödfall, till exempel om:
- Du uppdaterar BIOS/firmware
- Du byter ut viktig hårdvara
- TPM tror att något är fel – även om det inte är det
Nyckeln visas tydligt under installationen. Du kan:
- Skriva ner den
- Spara den som fil (utanför livesystemet)
- Skanna den som QR-kod
Skulle du tappa bort den, finns möjlighet att generera en ny via säkerhetscentret, så länge du fortfarande har åtkomst som administratör.
3. Extra lösenord – för dig som vill ha dubbelt skydd
Du kan välja att lägga till ett eget lösenord som måste anges vid uppstart, även om TPM godkänner systemets tillstånd. Detta ger ett extra lager av skydd – praktiskt för känsliga miljöer.
4. Smartare uppdateringar
För vissa uppdateringar (exempelvis DBX), där TPM kan förutse det nya tillståndet, krävs inga extra åtgärder – systemet startar som vanligt. Men om en förändring gör att TPM inte längre känner igen uppstartsmiljön, måste du:
- Verifiera ändringen med din återställningsnyckel
- Godkänna det nya tillståndet som betrott
Ubuntu 25.10 förvarnar också om en firmwareuppdatering kan påverka andra operativsystem på samma dator – exempelvis Windows med BitLocker.
5. Förbättrat stöd för stängda drivrutiner
Ubuntu jobbar aktivt för att TPM/FDE ska fungera även med proprietära drivrutiner, som Nvidia. Genom att paketera kärnan och viktiga komponenter i Snap, kan man säkerställa att TPM-mätningar stämmer – även när drivrutiner är stängda. Detta stöd väntas vara klart innan Ubuntu 25.10 släpps.
Viktigt: Funktionen är fortfarande experimentell
TPM/FDE är fortfarande i testfas och inte avsedd för produktion. Har du kritisk data och inte råd att bli utelåst från systemet, bör du vänta.
Ubuntu-teamet kommer att be om hjälp från frivilliga testare inför släppet i oktober. Målet är att samla in så mycket data som möjligt om olika system – för att säkerställa en stabil version längre fram.
Ubuntu 25.10 släpps den 9 oktober 2025
Med TPM-baserad kryptering tar Ubuntu ytterligare ett steg mot säkerhetsnivåer som tidigare varit reserverade för företag och avancerade användare. Även om funktionen fortfarande är ny, visar den tydligt vart Ubuntu är på väg: starkare, smartare och mer automatiserad säkerhet – utan att offra användarvänlighet.
Sammanfattning – vad får du?
- Skydd mot manipulation vid uppstart
- Automatisk upplåsning på betrodda system
- Dubbelt skydd med valfritt lösenord
- Enkel hantering av återställningsnyckel
- Förvarning vid uppdateringar som kan påverka TPM
- Stöd på gång för Nvidia och andra proprietära drivrutiner
Ubuntu 25.10 lägger grunden för framtidens säkra Linuxsystem. Delta gärna i testningen – och var med och forma nästa generations kryptering på skrivbordet.
För den senaste utvecklingen, följ diskussionen på Ubuntu Discourse:
TPM/FDE progress for Ubuntu 25.10
Fakta: Trusted Platform Module (TPM)
TPM (Trusted Platform Module) är ett hårdvarubaserat säkerhetschip som används för att säkra kryptografiska nycklar, autentisera maskinvara och skydda systemintegritet vid uppstart. TPM fungerar som en isolerad ”säkerhetsankare” för funktioner som kryptering, mätning av uppstartskedjan och identitetsverifiering.
Vad kan TPM göra?
- Generera och lagra kryptografiska nycklar (RSA, ECC)
- Utföra hårdvarubaserad nyckelhantering och asymmetrisk kryptering
- Verkställa ”measured boot” – mäta och logga firmware och bootloader
- Ge stöd för BitLocker och LUKS-kryptering utan användarlösenord
- Stöd för ”sealing” och ”unsealing” av data baserat på PCR-värden
- Skydda identitetscertifikat och lösenord med fysisk isolering
- Verkställa plattformsautentisering vid fjärråtkomst (t.ex. VPN, Zero Trust)
- Integreras med Secure Boot och UEFI för säker uppstart
Versioner och skillnader
Det finns två huvudsakliga TPM-versioner i praktisk användning: 1.2 och 2.0. De skiljer sig i funktion, säkerhetsmodell och algoritmstöd:
| Funktion | TPM 1.2 | TPM 2.0 |
|---|---|---|
| Specifikation | 2009 (TPM Main Spec v1.2) | 2015 (ISO/IEC 11889:2015) |
| Algoritmstöd | Endast SHA-1, RSA-2048 | SHA-1, SHA-256, ECC, RSA, HMAC, AES |
| Flexibilitet | Fast funktionalitet | Modulärt och utbyggbart (via profiles) |
| Plattformsintegration | Endast PC | PC, mobil, embedded, IoT |
| Autoriseringsmodell | Owner Password (enklare modell) | Policy- och sessionsbaserat (mer flexibelt) |
| UEFI/Secure Boot-stöd | Begränsat | Fullt stöd |
| Stöd i OS | Windows 7–11, Linux | Windows 10/11, Linux, Android, macOS (begränsat) |
Teknisk fördjupning
- PCR (Platform Configuration Registers): TPM innehåller 24 PCR-register som loggar uppstartsmiljön, vilket möjliggör ”measured boot” och att endast ladda upp systemet om det matchar tidigare godkända tillstånd.
- Endorsement Key (EK): Permanent, unik nyckel som identifierar TPM-chippet. Används för att skapa certifikat och verifiera plattformens identitet.
- Attestation: Möjlighet att kryptografiskt bevisa TPM-tillståndet för fjärrtjänster. Vanligt inom säkerhetspolicy, t.ex. i företag eller molnplattformar.
- NV Storage: Permanent lagring i TPM för att bevara nycklar och policydata över omstarter.
Säkerhetsaspekter
- TPM:s privata nycklar lämnar aldrig chippet
- Sårbar för fysiska attacker endast vid avancerad hårdvaruåtkomst
- Kan vara integrerad (fTPM i firmware) eller dedikerad (discret TPM)
- Skyddas av TPM-firmware, men uppdateringar krävs för kända buggar
Mer information
https://ostechnix.com/ubuntu-25-10-tpm-backed-full-disk-encryption-fde
