وضع أوين تايلور ، مبتكر GNOME Shell ومكتبة Pango ، وعضو مجموعة Fedora for Workstation Development Working Group ، خطة لتشفير أقسام النظام وأدلة المستخدم الرئيسية في Fedora Workstation افتراضيًا. تشمل مزايا الانتقال إلى التشفير افتراضيًا حماية البيانات في حالة سرقة الكمبيوتر المحمول ، والحماية من الهجمات على الأجهزة التي تُترك دون مراقبة ، والحفاظ على السرية والنزاهة دون الحاجة إلى معالجة غير ضرورية.
وفقًا لمسودة الخطة المعدة ، يخططون لاستخدام Btrfs fscrypt للتشفير. بالنسبة لأقسام النظام ، من المخطط تخزين مفاتيح التشفير في وحدة TPM واستخدامها جنبًا إلى جنب مع التوقيعات الرقمية المستخدمة للتحقق من سلامة أداة تحميل التشغيل ، و kernel ، و initrd (أي في مرحلة تمهيد النظام ، لن يحتاج المستخدم لإدخال كلمة مرور لفك تشفير أقسام النظام). عند تشفير الدلائل الرئيسية ، يخططون لإنشاء مفاتيح بناءً على تسجيل دخول المستخدم وكلمة المرور (سيتم توصيل الدليل الرئيسي المشفر عندما يقوم المستخدم بتسجيل الدخول إلى النظام).
يعتمد توقيت المبادرة على انتقال مجموعة التوزيع إلى صورة النواة الموحدة UKI (صورة النواة الموحدة) ، والتي تجمع في ملف واحد معالج تحميل النواة من UEFI (كعب التمهيد UEFI) ، وصورة Linux kernel و يتم تحميل بيئة نظام initrd في الذاكرة. بدون دعم UKI ، من المستحيل ضمان ثبات محتويات بيئة initrd ، حيث يتم تحديد مفاتيح فك تشفير نظام الملفات (على سبيل المثال ، يمكن للمهاجم تغيير initrd ومحاكاة طلب كلمة المرور ، لتجنب ذلك ، مطلوب تمهيد تم التحقق منه للسلسلة بأكملها قبل تركيب نظام الملفات).
في شكله الحالي ، يمتلك مثبت Fedora خيارًا لتشفير الأقسام على مستوى الكتلة باستخدام dm-crypt باستخدام عبارة مرور منفصلة غير مرتبطة بحساب مستخدم. يشير هذا الحل إلى مشاكل مثل عدم الملاءمة للتشفير المنفصل في أنظمة متعددة المستخدمين ، ونقص دعم التدويل والأدوات للأشخاص ذوي الإعاقة ، وإمكانية تنفيذ الهجمات من خلال استبدال أداة تحميل التشغيل (يمكن أن يتظاهر محمل الإقلاع المثبت من قبل المهاجم بأنه محمل الإقلاع الأصلي وطلب كلمة مرور فك التشفير) ، والحاجة إلى دعم Framebuffer في initrd للمطالبة بكلمة مرور.
المصدر: opennet.ru