Owen Taylor, kreinto de la biblioteko de GNOME Shell kaj Pango kaj membro de la laborgrupo de disvolvado Fedora por Workstations, prezentis planon por defaŭlta ĉifrado de sistemdiskoj kaj uzanthejmdosierujoj en Fedora Workstation. La avantaĝoj de ŝanĝado al ĉifrado defaŭlte inkluzivas datumprotekton en kazo de tekkomputila ŝtelo, protekton kontraŭ atakoj sur neprizorgitaj aparatoj, kaj konservado de konfidenco kaj integreco el la skatolo sen la bezono de nenecesa manipulado.
Konforme al la preparita skiza plano, ili planas uzi Btrfs fscrypt por ĉifrado. Por sistemsekcioj, ĉifradŝlosiloj estas planitaj por esti stokitaj en la TPM-modulo kaj uzataj kune kun ciferecaj subskriboj uzataj por kontroli la integrecon de la ekŝargilo, kerno kaj initrd (t.e., ĉe la sistema startstadio, la uzanto ne bezonos eniri. pasvorto por malĉifri sistemajn sekciojn). Dum ĉifrado de hejmaj dosierujoj, ŝlosiloj estas planitaj esti generitaj surbaze de la ensaluto kaj pasvorto de la uzanto (la ĉifrita hejma dosierujo estos konektita dum uzantsaluto).
La tempo de la iniciato dependas de la transiro de la distribuo al unuigita kernobildo UKI (Unified Kernel Image), kiu kombinas en unu dosiero la prizorganton por ŝargi la kernon de UEFI (UEFI-ŝargo-stubo), la Linuksan kernan bildon kaj la initrd-sisteman medion. ŝarĝita en memoron. Sen UKI-subteno, estas neeble garantii la senŝanĝon de la enhavo de la initrd-medio, en kiu la ŝlosiloj por malĉifri la FS estas determinitaj (ekzemple, atakanto povas anstataŭigi la initrd kaj simuli pasvorpeton; por eviti tion, a. kontrolita elŝuto de la tuta ĉeno estas postulata antaŭ muntado de la FS).
En ĝia nuna formo, la instalilo Fedora havas eblon ĉifri sekciojn ĉe la bloknivelo uzante dm-crypt, uzante apartan pasfrazon kiu ne estas ligita al la uzantkonto. Ĉi tiu solvo elstarigas tiajn problemojn kiel la maltaŭgeco por aparta ĉifrado en pluruzantaj sistemoj, manko de subteno por internaciigo kaj iloj por handikapuloj, la ebleco de atakoj per ŝargilo de ŝargilo (ŝargilo instalita de atakanto povas ŝajnigi esti la originala ŝargilo. kaj peti deĉifradan pasvorton), la bezono subteni framebuffer en initrd por peti pasvorton.
fonto: opennet.ru