Owen Taylor-ek, GNOME Shell eta Pango liburutegiaren sortzaileak eta Fedora for Workstations garatzeko lan-taldeko kideak, Fedora Workstation-en sistema-partizioen eta erabiltzaileen etxeko direktorioen lehenetsitako enkriptatzeko plana aurkeztu du. Lehenespenez enkriptaziora aldatzearen abantailen artean daude ordenagailu eramangarriaren lapurreta kasuetan datuen babesa, arretarik gabeko gailuen erasoen aurkako babesa eta konfidentzialtasuna eta osotasuna kutxatik kanpo mantentzea, alferrikako manipulazio beharrik gabe.
Prestatutako planaren zirriborroaren arabera, enkriptatzeko Btrfs fscrypt erabiltzeko asmoa dute. Sistemaren partizioetarako, enkriptatze-gakoak TPM moduluan gordetzea eta abio-kargatzailearen, nukleoaren eta initrd-aren osotasuna egiaztatzeko erabiltzen diren sinadura digitalekin batera erabiltzea aurreikusten da (hau da, sistema abiarazteko fasean, erabiltzaileak ez du sartu beharko. pasahitz bat sistemaren partizioak deszifratzeko). Hasierako direktorioak enkriptatzerakoan, giltzak sortzea aurreikusten da erabiltzailearen saio-hasieran eta pasahitzan oinarrituta (zifratutako hasierako direktorioa konektatuko da erabiltzailearen saioa hastean).
Ekimenaren denbora banaketa nukleoaren irudi bateratu baterako trantsizioaren araberakoa da UKI (Unified Kernel Image), zeinak fitxategi batean konbinatzen dituen nukleoa UEFItik (UEFI boot stub), Linux nukleoaren irudia eta initrd sistemaren ingurunea kargatzeko kudeatzailea. memorian kargatuta. UKI euskarririk gabe, ezinezkoa da initrd inguruneko edukien aldaezintasuna bermatzea, zeinetan FS deszifratzeko gakoak zehazten diren (adibidez, erasotzaile batek initrd ordezkatu eta pasahitz eskaera simula dezake; hori ekiditeko, kate osoaren deskarga egiaztatu behar da FS muntatu aurretik).
Oraingo moduan, Fedora instalatzaileak bloke mailan partizioak enkriptatzeko aukera du dm-crypt erabiliz, erabiltzailearen kontuari lotuta ez dagoen pasaesaldi bereizia erabiliz. Irtenbide honek, besteak beste, erabiltzaile anitzeko sistemetan bereizitako enkriptaziorako desegokitasuna, nazioartekotzeko eta desgaitasunen bat duten pertsonentzako tresnak ez izatea, abio-kargagailuaren spoofing-aren bidez erasoak egiteko aukera (erasotzaile batek instalatutako abiarazle batek jatorrizko abiarazlea dela itxuratu dezake). eta deszifratzeko pasahitza eskatu), initrd-en framebuffer-a onartu beharra dago pasahitza eskatzeko.
Iturria: opennet.ru