Owen Taylor, skapari GNOME Shell og Pango bókasafnsins, og meðlimur í Fedora for Workstation Development Working Group, hefur lagt fram áætlun um dulkóðun kerfissneiða og heimaskrár notenda í Fedora Workstation sjálfgefið. Ávinningurinn af því að færa sjálfgefið yfir í dulkóðun felur í sér að vernda gögn ef fartölvu er stolið, vernd gegn árásum á tæki sem eru skilin eftir eftirlitslaus, viðhalda trúnaði og heilindum utan kassans án þess að þörf sé á óþarfa meðhöndlun.
Í samræmi við undirbúin drög að áætlun ætla þeir að nota Btrfs fscrypt fyrir dulkóðun. Fyrir kerfisskiptingu er áætlað að dulkóðunarlyklar séu geymdir í TPM einingunni og notaðir í tengslum við stafrænar undirskriftir sem notaðar eru til að sannreyna heilleika ræsiforritsins, kjarnans og initrd (þ.e. á ræsingarstigi kerfisins mun notandinn ekki þurfa til að slá inn lykilorð til að afkóða kerfissneið). Þegar heimilisskrár eru dulkóðaðar ætla þeir að búa til lykla sem byggjast á innskráningu og lykilorði notandans (dulkóðaða heimaskráin verður tengd þegar notandinn skráir sig inn í kerfið).
Tímasetning frumkvæðisins veltur á umskiptum dreifingarsettsins yfir í sameinaða kjarnamyndina UKI (Unified Kernel Image), sem sameinar í einni skrá meðhöndlun til að hlaða kjarnanum frá UEFI (UEFI boot stub), Linux kjarnamynd og initrd kerfisumhverfi hlaðið inn í minni. Án UKI-stuðnings er ómögulegt að tryggja óbreytileika innihalds initrd umhverfisins, þar sem lyklarnir til að afkóða skráarkerfið eru ákvörðuð (til dæmis getur árásarmaður breytt initrd og hermt eftir lykilorðsbeiðni, til að forðast þetta, staðfesta ræsingu á allri keðjunni er krafist áður en skráarkerfið er sett upp).
Í núverandi mynd sinni hefur Fedora uppsetningarforritið möguleika á að dulkóða skipting á blokkarstigi með dm-crypt með því að nota sérstakan aðgangsorð sem er ekki bundinn við notendareikning. Þessi lausn bendir á vandamál eins og óhæfni fyrir aðskilda dulkóðun í fjölnotendakerfum, skortur á stuðningi við alþjóðavæðingu og verkfæri fyrir fólk með fötlun, möguleikann á að framkvæma árásir með því að skipta um ræsiforrit (ræsihleðslutæki sem árásarmaður setur upp getur þykjast vera upprunalegi ræsiforritið og biðja um afkóðun lykilorð), þörfina á að styðja framebuffer í initrd til að biðja um lykilorð.
Heimild: opennet.ru