GNOME Shell と Pango ライブラリの作成者であり、Fedora for Workstations 開発ワーキング グループのメンバーである Owen Taylor は、Fedora Workstation のシステム パーティションとユーザー ホーム ディレクトリのデフォルト暗号化の計画を提案しました。 デフォルトで暗号化に切り替える利点には、ラップトップの盗難時のデータ保護、無人デバイスへの攻撃に対する保護、不要な操作を必要とせずにすぐに使用できる機密性と完全性の維持などが含まれます。
作成された計画案によれば、暗号化には Btrfs fscrypt を使用する予定です。 システム パーティションの場合、暗号化キーは TPM モジュールに保存され、ブートローダー、カーネル、および initrd の整合性を検証するために使用されるデジタル署名と組み合わせて使用されることが計画されています (つまり、システムのブート段階で、ユーザーは次のように入力する必要はありません)システム パーティションを復号化するためのパスワード)。 ホーム ディレクトリを暗号化する場合、ユーザーのログイン名とパスワードに基づいてキーが生成される予定です (暗号化されたホーム ディレクトリはユーザーのログイン中に接続されます)。
この取り組みのタイミングは、ディストリビューションの統合カーネル イメージ UKI (統合カーネル イメージ) への移行によって異なります。UKI (統合カーネル イメージ) は、UEFI (UEFI ブート スタブ) からカーネルをロードするためのハンドラー、Linux カーネル イメージ、および initrd システム環境を XNUMX つのファイルに結合します。メモリにロードされます。 UKI サポートがなければ、FS を復号化するためのキーが決定される initrd 環境の内容の不変性を保証することは不可能です (たとえば、攻撃者は initrd を置き換えてパスワード要求をシミュレートすることができます。これを回避するには、 FS をマウントする前に、チェーン全体の検証済みダウンロードが必要です)。
現在の形式では、Fedora インストーラーには、ユーザー アカウントに関連付けられていない別のパスフレーズを使用して、dm-crypt を使用してブロック レベルでパーティションを暗号化するオプションがあります。 このソリューションは、マルチユーザー システムでの個別の暗号化の不適性、国際化と障害者向けツールのサポートの欠如、ブートローダー スプーフィングによる攻撃の可能性 (攻撃者によってインストールされたブートローダーが元のブートローダーになりすます可能性がある) などの問題を浮き彫りにします。復号化パスワードを要求します)、パスワードの入力を求める initrd のフレームバッファをサポートする必要があります。
出所: オープンネット.ru