Owen Taylor, pencipta perpustakaan GNOME Shell dan Pango dan anggota kelompok kerja pengembangan Fedora untuk Workstation, telah mengajukan rencana untuk enkripsi default partisi sistem dan direktori home pengguna di Fedora Workstation. Keuntungan beralih ke enkripsi secara default mencakup perlindungan data jika terjadi pencurian laptop, perlindungan terhadap serangan pada perangkat tanpa pengawasan, dan menjaga kerahasiaan dan integritas tanpa memerlukan manipulasi yang tidak perlu.
Sesuai dengan rancangan rencana yang telah disiapkan, mereka berencana menggunakan Btrfs fscrypt untuk enkripsi. Untuk partisi sistem, kunci enkripsi direncanakan untuk disimpan dalam modul TPM dan digunakan bersama dengan tanda tangan digital yang digunakan untuk memverifikasi integritas bootloader, kernel, dan initrd (yaitu, pada tahap boot sistem, pengguna tidak perlu masuk kata sandi untuk mendekripsi partisi sistem). Saat mengenkripsi direktori home, kunci direncanakan akan dibuat berdasarkan login dan kata sandi pengguna (direktori home terenkripsi akan terhubung saat pengguna login).
Waktu inisiatif tergantung pada transisi distribusi ke image kernel terpadu UKI (Unified Kernel Image), yang menggabungkan dalam satu file handler untuk memuat kernel dari UEFI (UEFI boot stub), image kernel Linux dan lingkungan sistem initrd dimuat ke dalam memori. Tanpa dukungan UKI, tidak mungkin untuk menjamin kekekalan konten lingkungan initrd, di mana kunci untuk mendekripsi FS ditentukan (misalnya, penyerang dapat mengganti initrd dan mensimulasikan permintaan kata sandi; untuk menghindari hal ini, a pengunduhan terverifikasi seluruh rantai diperlukan sebelum memasang FS).
Dalam bentuknya yang sekarang, penginstal Fedora memiliki opsi untuk mengenkripsi partisi pada tingkat blok menggunakan dm-crypt, menggunakan frasa sandi terpisah yang tidak terikat dengan akun pengguna. Solusi ini menyoroti masalah seperti ketidakcocokan enkripsi terpisah dalam sistem multi-pengguna, kurangnya dukungan untuk internasionalisasi dan alat untuk penyandang disabilitas, kemungkinan serangan melalui spoofing bootloader (bootloader yang diinstal oleh penyerang dapat berpura-pura menjadi bootloader asli dan meminta kata sandi dekripsi), kebutuhan untuk mendukung framebuffer di initrd untuk meminta kata sandi.
Sumber: opennet.ru