Mae Owen Taylor, crΓ«wr GNOME Shell a llyfrgell Pango, ac aelod o Weithgor Fedora for Workstation Development, wedi cyflwyno cynllun ar gyfer amgryptio rhaniadau system a chyfeiriaduron cartref defnyddwyr yng Ngorsaf Waith Fedora yn ddiofyn. Mae manteision symud i amgryptio yn ddiofyn yn cynnwys diogelu data pe bai gliniadur yn cael ei ddwyn, amddiffyn rhag ymosodiadau ar ddyfeisiau sy'n cael eu gadael heb neb yn gofalu amdanynt, cynnal cyfrinachedd a chywirdeb allan o'r bocs heb fod angen ei drin yn ddiangen.
Yn unol Γ’'r cynllun drafft a baratowyd, maent yn bwriadu defnyddio Btrfs fscrypt ar gyfer amgryptio. Ar gyfer rhaniadau system, bwriedir storio allweddi amgryptio yn y modiwl TPM a'u defnyddio ar y cyd Γ’ llofnodion digidol a ddefnyddir i wirio cywirdeb y cychwynnydd, y cnewyllyn, a'r initrd (hynny yw, ar gam cychwyn y system, ni fydd angen i'r defnyddiwr i fewnbynnu cyfrinair i ddadgryptio rhaniadau system). Wrth amgryptio cyfeiriaduron cartref, maent yn bwriadu cynhyrchu allweddi yn seiliedig ar fewngofnodi a chyfrinair y defnyddiwr (bydd y cyfeiriadur cartref wedi'i amgryptio yn cael ei gysylltu pan fydd y defnyddiwr yn mewngofnodi i'r system).
Mae amseriad y fenter yn dibynnu ar drosglwyddo'r pecyn dosbarthu i'r ddelwedd cnewyllyn unedig UKI (Unified Kernel Image), sy'n cyfuno mewn un ffeil driniwr ar gyfer llwytho'r cnewyllyn o UEFI (bonyn cychwyn UEFI), delwedd cnewyllyn Linux a'r amgylchedd system initrd wedi'i lwytho i'r cof. Heb gefnogaeth UKI, mae'n amhosibl gwarantu anghysondeb cynnwys yr amgylchedd initrd, lle mae'r allweddi ar gyfer dadgryptio'r system ffeiliau yn cael eu pennu (er enghraifft, gall ymosodwr newid yr initrd ac efelychu cais cyfrinair, er mwyn osgoi hyn, mae angen cist wedi'i gwirio o'r gadwyn gyfan cyn gosod y system ffeiliau).
Yn ei ffurf bresennol, mae gan osodwr Fedora opsiwn i amgryptio rhaniadau ar y lefel bloc gyda dm-crypt gan ddefnyddio cyfrinair ar wahΓ’n nad yw'n gysylltiedig Γ’ chyfrif defnyddiwr. Mae'r datrysiad hwn yn nodi problemau megis anaddasrwydd ar gyfer amgryptio ar wahΓ’n mewn systemau aml-ddefnyddiwr, diffyg cefnogaeth i ryngwladoli ac offer i bobl ag anableddau, y posibilrwydd o berfformio ymosodiadau trwy amnewid cychwynnydd (gall cychwynnydd a osodwyd gan ymosodwr gymryd arno mai hwn yw'r cychwynnwr gwreiddiol a gofyn am gyfrinair dadgryptio), yr angen i gefnogi framebuffer yn initrd i annog am gyfrinair.
Ffynhonnell: opennet.ru