Owen Taylor, GNOME Shelli ja Pango teegi looja ning Fedora for Workstations arendustöörühma liige, on esitanud kava Fedora Workstationi süsteemisektsioonide ja kasutajate kodukataloogide vaikekrüptimiseks. Vaikimisi krüpteerimisele ülemineku eelised hõlmavad andmekaitset sülearvuti varguse korral, kaitset järelevalveta seadmetele suunatud rünnakute eest ning konfidentsiaalsuse ja terviklikkuse säilitamist, ilma et oleks vaja tarbetuid manipuleerimisi.
Kooskõlas koostatud kavandi eelnõuga kavatsevad nad krüptimiseks kasutada Btrfs fscrypt. Süsteemipartitsioonide jaoks on krüpteerimisvõtmed plaanitud salvestada TPM-moodulisse ja kasutada koos digitaalallkirjadega, mida kasutatakse alglaaduri, kerneli ja initrd-i terviklikkuse kontrollimiseks (st süsteemi alglaadimise etapis ei pea kasutaja sisestama parool süsteemisektsioonide dekrüpteerimiseks). Kodukataloogide krüptimisel on plaanis võtmed genereerida kasutaja sisselogimise ja parooli alusel (krüpteeritud kodukataloog ühendatakse kasutaja sisselogimise käigus).
Algatuse ajastus sõltub distributsiooni üleminekust ühtsele kerneli kujutisele UKI (Unified Kernel Image), mis ühendab ühes failis UEFI-st kerneli laadimise töötleja (UEFI boot stub), Linuxi kerneli kujutise ja initrd süsteemikeskkonna mällu laaditud. Ilma UKI toeta on võimatu tagada initrd-keskkonna sisu muutumatust, milles määratakse FS-i dekrüpteerimiseks kasutatavad võtmed (näiteks saab ründaja asendada initrd-i ja simuleerida paroolipäringut; selle vältimiseks enne FS-i paigaldamist on vajalik kogu keti kontrollitud allalaadimine).
Praegusel kujul on Fedora installijal võimalus krüptida partitsioonid ploki tasemel, kasutades dm-crypt, kasutades eraldi parooli, mis pole kasutajakontoga seotud. See lahendus tõstab esile sellised probleemid nagu sobimatus eraldi krüptimiseks mitme kasutajaga süsteemides, rahvusvahelistumise ja puuetega inimeste jaoks mõeldud tööriistade toetuse puudumine, rünnete võimalus alglaaduri võltsimise kaudu (ründaja installitud alglaadur võib teeselda, et see on alglaadur ja dekrüpteerimisparooli taotlemine), vajadus toetada parooli küsimiseks initrd-is kaadripuhvrit.
Allikas: opennet.ru