Owen Taylor, pencipta perpustakaan GNOME Shell lan Pango lan anggota grup kerja pangembangan Fedora for Workstations, wis nggawe rencana kanggo enkripsi standar partisi sistem lan direktori ngarep pangguna ing Fedora Workstation. Keuntungan saka ngalih menyang enkripsi kanthi gawan kalebu proteksi data yen ana nyolong laptop, proteksi marang serangan ing piranti sing ora dijaga, lan njaga rahasia lan integritas metu saka kothak tanpa perlu manipulasi sing ora perlu.
Sesuai karo rencana rancangan sing disiapake, dheweke ngrancang nggunakake Btrfs fscrypt kanggo enkripsi. Kanggo partisi sistem, kunci enkripsi direncanakake disimpen ing modul TPM lan digunakake bebarengan karo tandha digital sing digunakake kanggo verifikasi integritas bootloader, kernel lan initrd (yaiku, ing tahap boot sistem, pangguna ora perlu ngetik. sandi kanggo dekripsi partisi sistem). Nalika ndhelik direktori ngarep, kunci direncanakake bakal digawe adhedhasar login lan sandhi pangguna (direktori omah sing dienkripsi bakal disambungake nalika pangguna mlebu).
Wektu saka inisiatif gumantung saka transisi distribusi menyang gambar kernel terpadu UKI (Gambar Kernel Unified), sing nggabungake ing siji file panangan kanggo mbukak kernel saka UEFI (UEFI boot stub), gambar kernel Linux lan lingkungan sistem initrd. dimuat ing memori. Tanpa dhukungan UKI, ora bisa njamin invariansi isi lingkungan initrd, ing ngendi kunci kanggo dekripsi FS ditemtokake (contone, panyerang bisa ngganti initrd lan simulasi panyuwunan sandhi; kanggo nyegah iki, a download diverifikasi kabeh chain dibutuhake sadurunge soyo tambah FS).
Ing wangun saiki, installer Fedora duwe pilihan kanggo ndhelik partisi ing tingkat blok nggunakake dm-crypt, nggunakake frasa sandhi sing kapisah sing ora ana gandhengane karo akun pangguna. Solusi iki nyoroti masalah kayata ora cocog kanggo enkripsi sing kapisah ing sistem multi pangguna, kurang dhukungan kanggo internasionalisasi lan alat kanggo wong sing ora duwe kabisan, kamungkinan serangan liwat spoofing bootloader (bootloader sing diinstal dening panyerang bisa nyamar dadi bootloader asli. lan njaluk sandi dekripsi), perlu kanggo ndhukung framebuffer ing initrd kanggo njaluk sandhi.
Source: opennet.ru