Оўэн Тэйлар (Owen Taylor), стваральнік GNOME Shell і бібліятэкі Pango, які ўваходзіць у працоўную групу па развіцці Fedora для працоўных станцый, выставіў на абмеркаванне план шыфравання па змаўчанні сістэмных частак і хатніх каталогаў карыстачоў у Fedora Workstation. З плюсаў пераходу да шыфравання па змаўчанні завецца абарона дадзеных у выпадку крадзяжу наўтбука, абарона ад нападаў на пакінутыя без нагляду прылады, падтрыманне прыватнасці і цэласнасці са скрынкі без неабходнасці здзяйснення лішніх маніпуляцый.
У адпаведнасці з падрыхтаваным чарнавым планам для шыфравання плануюць выкарыстоўваць Btrfs fscrypt. Для сістэмных частак ключы шыфравання плануюць захоўваць у TPM-модулі і выкарыстоўваць у прывязцы да лічбавых подпісаў, ужывальным для праверкі цэласнасці загрузніка, ядры і initrd (г.зн. на этапе загрузкі сістэмы карыстачу не трэба будзе ўводзіць пароль для расшыфроўкі сістэмных частак). Пры шыфраванні хатніх каталогаў ключы плануюць генераваць на аснове лагіна і пароля карыстальніка (падлучэнне зашыфраванага хатняга каталога будзе рабіцца падчас уваходу карыстальніка ў сістэму).
Тэрміны рэалізацыі ініцыятывы залежаць ад пераходу дыстрыбутыва на ўніфікаваную выяву ядра UKI (Unified Kernel Image), які аб'ядноўвае ў адным файле апрацоўшчык для загрузкі ядра з UEFI (UEFI boot stub), выява ядра Linux і загружанае ў памяць сістэмнае асяроддзе initrd. Без падтрымкі UKI немагчыма гарантаваць нязменнасць змесціва асяроддзя initrd, у якім ажыццяўляецца вызначэнне ключоў для расшыфроўкі ФС (напрыклад, атакавалы можа падмяніць initrd і сімуляваць запыт пароля, каб гэтага пазбегнуць патрабуецца верыфікаваная загрузка ўсяго ланцужка да мантавання ФС).
У бягучым выглядзе ва ўсталёўніку Fedora маецца опцыя для шыфравання частак на блокавым узроўні пры дапамозе dm-crypt, выкарыстаючы асобную парольную фразу, не прывязаную да ўліковага запісу карыстача. У дадзеным рашэнні адзначаюцца такія праблемы, як непрыдатнасць для паасобнага шыфравання ў шматкарыстальніцкіх сістэмах, адсутнасць падтрымкі інтэрнацыяналізацыі і сродкаў для людзей з абмежаванымі магчымасцямі, магчымасць здзяйснення нападаў праз падмену загрузніка (усталяваны атакавалым загрузнік можа прыкінуцца арыгінальным загрузнікам і запытаць пароль расшыфроўкі), неабходнасць падтрымкі framebu у initrd для вываду запыту пароля.
Крыніца: opennet.ru