GNOME Shell və Pango kitabxanasının yaradıcısı və Fedora for Workstation Development İşçi Qrupunun üzvü Owen Taylor, standart olaraq Fedora Workstation-da sistem arakəsmələrinin və istifadəçi ev kataloqlarının şifrələnməsi planını irəli sürdü. Defolt olaraq şifrələməyə keçməyin üstünlükləri arasında noutbukun oğurlanması halında məlumatların qorunması, nəzarətsiz qalan cihazlara hücumlardan qorunmaq, lazımsız manipulyasiyalara ehtiyac olmadan məxfilik və bütövlüyün təmin edilməsi daxildir.
Hazırlanmış layihə planına uyğun olaraq, şifrələmə üçün Btrfs fscrypt-dən istifadə etməyi planlaşdırırlar. Sistem bölmələri üçün şifrələmə açarlarının TPM modulunda saxlanması və yükləyicinin, nüvənin və initrd-nin bütövlüyünü yoxlamaq üçün istifadə olunan rəqəmsal imzalarla birlikdə istifadə edilməsi planlaşdırılır (yəni sistemin açılış mərhələsində istifadəçiyə ehtiyac olmayacaqdır). sistem bölmələrinin şifrəsini açmaq üçün parol daxil etmək). Ev kataloqlarını şifrələyərkən, onlar istifadəçinin loqin və paroluna əsasən açarlar yaratmağı planlaşdırırlar (şifrələnmiş ev kataloqu istifadəçi sistemə daxil olduqda qoşulacaq).
Təşəbbüsün vaxtı paylama dəstinin UEFI-dən nüvəni yükləmək üçün idarəedicini (UEFI açılış stub), Linux nüvəsi şəklini və bir faylda birləşdirən UKI (Unified Kernel Image) vahid nüvə təsvirinə keçidindən asılıdır. initrd sistem mühiti yaddaşa yüklənir. UKI dəstəyi olmadan, fayl sisteminin şifrəsini açmaq üçün açarların müəyyən edildiyi initrd mühitinin məzmununun dəyişməzliyinə zəmanət vermək mümkün deyil (məsələn, təcavüzkar initrd-i dəyişdirə və parol sorğusunu simulyasiya edə bilər, bunun qarşısını almaq üçün, fayl sistemini quraşdırmadan əvvəl bütün zəncirin təsdiqlənmiş yüklənməsi tələb olunur).
Mövcud formada Fedora quraşdırıcısı istifadəçi hesabına bağlı olmayan ayrıca paroldan istifadə edərək blok səviyyəsində arakəsmələri dm-crypt ilə şifrələmək imkanına malikdir. Bu həll çox istifadəçi sistemlərində ayrıca şifrələmə üçün yararsızlıq, beynəlmiləlləşdirmə dəstəyinin və əlilliyi olan insanlar üçün alətlərin olmaması, yükləyicinin dəyişdirilməsi vasitəsilə hücumların həyata keçirilməsi imkanları (təcavüzkar tərəfindən quraşdırılmış yükləyici özünü orijinal yükləyici kimi göstərə bilər) kimi problemləri qeyd edir. və şifrəni açmaq üçün parol tələb edin), parol tələb etmək üçün initrd-də framebuffer dəstəyinə ehtiyac.
Mənbə: opennet.ru