Owen Taylor, GNOME Shell және Pango кітапханасын жасаушы және Fedora for Workstations әзірлеу жұмыс тобының мүшесі, Fedora Workstation жүйесінде жүйелік бөлімдер мен пайдаланушының үй каталогтарын әдепкі шифрлау жоспарын ұсынды. Әдепкі бойынша шифрлауға ауысудың артықшылықтарына ноутбукты ұрлау кезінде деректерді қорғау, бақылаусыз құрылғыларға шабуылдардан қорғау және қажетсіз манипуляцияларды қажет етпей, құпиялылық пен тұтастықты сақтау кіреді.
Дайындалған жоспар жобасына сәйкес олар шифрлау үшін Btrfs fscrypt қолдануды жоспарлап отыр. Жүйе бөлімдері үшін шифрлау кілттерін TPM модулінде сақтау және жүктеуші, ядро және initrd тұтастығын тексеру үшін пайдаланылатын сандық қолтаңбалармен бірге пайдалану жоспарлануда (яғни, жүйені жүктеу кезеңінде пайдаланушыға енгізу қажет болмайды. жүйе бөлімдерінің шифрын шешуге арналған құпия сөз). Үй каталогтарын шифрлау кезінде пайдаланушының логині мен құпия сөзі негізінде кілттерді жасау жоспарланады (шифрланған үй каталогы пайдаланушы кіру кезінде қосылады).
Бастаманың уақыты дистрибутивтің UKI (Unified Kernel Image) ядросының бірыңғай кескініне көшуіне байланысты, ол бір файлда UEFI-ден (UEFI жүктеу stub) ядроны жүктеуге арналған өңдеушіні, Linux ядросының кескінін және initrd жүйесінің ортасын біріктіреді. жадқа жүктеледі. UKI қолдауынсыз FS шифрын шешуге арналған кілттер анықталатын initrd ортасының мазмұнының өзгермейтіндігіне кепілдік беру мүмкін емес (мысалы, шабуылдаушы initrd-ді ауыстырып, құпия сөз сұрауын имитациялай алады; мұны болдырмау үшін, FS орнату алдында бүкіл тізбекті тексерілген жүктеп алу қажет).
Қазіргі пішінде Fedora орнатушысының пайдаланушы тіркелгісімен байланысы жоқ бөлек құпия фразаны пайдаланып, dm-crypt көмегімен блок деңгейінде бөлімдерді шифрлау мүмкіндігі бар. Бұл шешім көп пайдаланушылық жүйелерде бөлек шифрлаудың жарамсыздығы, интернационализацияны қолдаудың және мүмкіндігі шектеулі адамдарға арналған құралдардың жоқтығы, жүктеуші спуфинг арқылы шабуылдар мүмкіндігі (шабуылдаушы орнатқан жүктеуші бастапқы жүктеуші болып көрінуі мүмкін) сияқты мәселелерді көрсетеді. және шифрды шешу құпия сөзін сұрау), құпия сөзді сұрау үшін initrd ішіндегі фрейм буферін қолдау қажеттілігі.
Ақпарат көзі: opennet.ru