Օուեն Թեյլորը՝ GNOME Shell-ի և Pango գրադարանի ստեղծողը և Fedora for Workstations-ի մշակման աշխատանքային խմբի անդամը, առաջ է քաշել Fedora Workstation-ում համակարգի բաժանմունքների և օգտատերերի տնային դիրեկտորիաների լռելյայն ծածկագրման ծրագիր: Լռելյայնորեն գաղտնագրման անցնելու առավելությունները ներառում են տվյալների պաշտպանություն նոութբուքի գողության դեպքում, պաշտպանություն չվերահսկվող սարքերի վրա հարձակումներից և գաղտնիության և ամբողջականության պահպանում առանց անհարկի մանիպուլյացիայի անհրաժեշտության:
Նախապատրաստված ծրագրի նախագծին համապատասխան, նրանք նախատեսում են օգտագործել Btrfs fscrypt գաղտնագրման համար։ Համակարգի միջնորմների համար գաղտնագրման բանալիները նախատեսվում է պահել TPM մոդուլում և օգտագործել թվային ստորագրությունների հետ միասին, որոնք օգտագործվում են բեռնիչի, միջուկի և initrd-ի ամբողջականությունը ստուգելու համար (այսինքն՝ համակարգի բեռնման փուլում օգտագործողը կարիք չի ունենա մուտքագրելու գաղտնաբառ՝ համակարգի միջնորմները վերծանելու համար): Տնային գրացուցակները գաղտնագրելիս ծրագրվում է գեներացնել բանալիներ՝ հիմնվելով օգտատիրոջ մուտքի և գաղտնաբառի վրա (գաղտնագրված տնային գրացուցակը կմիանա օգտվողի մուտքի ժամանակ):
Նախաձեռնության ժամկետը կախված է բաշխման անցումից դեպի միջուկի միասնական պատկեր UKI (Unified Kernel Image), որը միավորում է մեկ ֆայլում UEFI-ից միջուկը բեռնելու համար մշակողը (UEFI boot stub), Linux միջուկի պատկերը և initrd համակարգի միջավայրը: բեռնված է հիշողության մեջ: Առանց UKI-ի աջակցության անհնար է երաշխավորել initrd միջավայրի բովանդակության անփոփոխությունը, որում որոշվում են FS-ի վերծանման բանալիները (օրինակ, հարձակվողը կարող է փոխարինել initrd-ը և մոդելավորել գաղտնաբառի հարցումը. խուսափելու համար՝ Ամբողջ շղթայի ստուգված ներբեռնումը պահանջվում է նախքան FS-ը տեղադրելը):
Իր ներկայիս տեսքով, Fedora-ի տեղադրիչը հնարավորություն ունի գաղտնագրելու բաժանմունքները բլոկի մակարդակում՝ օգտագործելով dm-crypt՝ օգտագործելով առանձին անցաբառ, որը կապված չէ օգտվողի հաշվի հետ: Այս լուծումը ընդգծում է այնպիսի խնդիրներ, ինչպիսիք են բազմաբնակարան օգտատերերի համակարգերում առանձին գաղտնագրման անհամապատասխանությունը, հաշմանդամություն ունեցող անձանց միջազգայնացման և գործիքների աջակցության բացակայությունը, բեռնիչի կեղծման միջոցով գրոհների հնարավորությունը (հարձակվողի կողմից տեղադրված բեռնիչը կարող է ձևացնել որպես բնօրինակ բեռնիչ: և պահանջել վերծանման գաղտնաբառ), գաղտնաբառ պահանջելու համար initrd-ում framebuffer-ին աջակցելու անհրաժեշտությունը:
Source: opennet.ru