اوون تیلور، خالق گنوم شل و کتابخانه Pango، و یکی از اعضای کارگروه توسعه ایستگاه کاری فدورا، طرحی را برای رمزگذاری پارتیشنهای سیستم و دایرکتوریهای خانه کاربر در ایستگاه کاری فدورا به صورت پیشفرض ارائه کرده است. مزایای حرکت به سمت رمزگذاری به طور پیشفرض شامل محافظت از دادهها در صورت سرقت لپتاپ، محافظت در برابر حملات به دستگاههای بدون مراقبت، حفظ محرمانگی و یکپارچگی خارج از جعبه بدون نیاز به دستکاری غیر ضروری است.
طبق پیش نویس طرح تهیه شده، قصد دارند از Btrfs fscrypt برای رمزگذاری استفاده کنند. برای پارتیشنهای سیستم، کلیدهای رمزگذاری در ماژول TPM ذخیره میشوند و همراه با امضاهای دیجیتالی مورد استفاده برای تأیید صحت بوتلودر، هسته و initrd استفاده میشوند (یعنی در مرحله بوت سیستم، کاربر نیازی نخواهد داشت. برای وارد کردن رمز عبور برای رمزگشایی پارتیشن های سیستم). هنگام رمزگذاری دایرکتوری های خانگی، آنها قصد دارند کلیدهایی را بر اساس ورود و رمز عبور کاربر تولید کنند (دایرکتوری خانه رمزگذاری شده زمانی که کاربر وارد سیستم می شود متصل می شود).
زمان ابتکار به انتقال کیت توزیع به تصویر هسته یکپارچه UKI (تصویر هسته یکپارچه) بستگی دارد، که در یک فایل یک کنترل کننده برای بارگیری هسته از UEFI (خرد بوت UEFI)، یک تصویر هسته لینوکس و محیط سیستم initrd در حافظه بارگذاری شده است. بدون پشتیبانی UKI، تضمین عدم تغییر محتویات محیط initrd، که در آن کلیدهای رمزگشایی سیستم فایل تعیین می شود، غیرممکن است (به عنوان مثال، یک مهاجم می تواند initrd را تغییر داده و یک درخواست رمز عبور را شبیه سازی کند، برای جلوگیری از این، یک بوت تایید شده از کل زنجیره قبل از نصب سیستم فایل مورد نیاز است).
در شکل فعلی، نصب کننده فدورا گزینه ای برای رمزگذاری پارتیشن ها در سطح بلوک با dm-crypt با استفاده از یک عبارت عبور جداگانه که به حساب کاربری مرتبط نیست، دارد. این راه حل مشکلاتی مانند نامناسب بودن برای رمزگذاری جداگانه در سیستم های چند کاربره، عدم پشتیبانی از بین المللی سازی و ابزار برای افراد دارای معلولیت، امکان انجام حملات از طریق جایگزینی بوت لودر (یک بوت لودر نصب شده توسط مهاجم می تواند وانمود کند که بوت لودر اصلی است را ذکر می کند. و درخواست رمز رمزگشایی)، نیاز به پشتیبانی از فریم بافر در initrd برای درخواست رمز عبور.
منبع: opennet.ru