Owen Taylor, GNOME Shell ir Pango bibliotekos kūrėjas ir Fedora for Workstations kūrimo darbo grupės narys, pasiūlė numatytojo sistemos skaidinių ir vartotojų namų katalogų šifravimo Fedora Workstation planą. Perjungimo į šifravimą pagal numatytuosius nustatymus privalumai apima duomenų apsaugą nešiojamojo kompiuterio vagystės atveju, apsaugą nuo atakų prieš neprižiūrimus įrenginius ir konfidencialumo bei vientisumo išlaikymą be nereikalingo manipuliavimo.
Pagal parengtą plano projektą šifravimui jie planuoja naudoti Btrfs fscrypt. Sistemos skaidiniams šifravimo raktus planuojama saugoti TPM modulyje ir naudoti kartu su skaitmeniniais parašais, naudojamais įkrovos įkroviklio, branduolio ir initrd vientisumui patikrinti (t. y. sistemos įkrovos etape vartotojui nereikės įvesti slaptažodį sistemos skaidiniams iššifruoti). Šifruojant namų katalogus, raktus planuojama generuoti pagal vartotojo prisijungimą ir slaptažodį (užšifruotas namų katalogas bus prijungtas vartotojo prisijungimo metu).
Iniciatyvos laikas priklauso nuo platinimo perėjimo prie vieningo branduolio atvaizdo UKI (Unified Kernel Image), kuris viename faile sujungia branduolio įkėlimo iš UEFI tvarkyklę (UEFI boot stub), Linux branduolio atvaizdą ir initrd sistemos aplinką. įkeltas į atmintį. Be UKI palaikymo neįmanoma garantuoti initrd aplinkos, kurioje nustatomi FS iššifravimo raktai, turinio nekintamumo (pavyzdžiui, užpuolikas gali pakeisti initrd ir imituoti slaptažodžio užklausą; norint to išvengti, Prieš montuodami FS, būtina patikrinti visos grandinės atsisiuntimą).
Dabartinėje formoje „Fedora“ diegimo programa turi galimybę užšifruoti skaidinius bloko lygiu naudojant dm-crypt, naudojant atskirą slaptafrazę, kuri nėra susieta su vartotojo paskyra. Šis sprendimas išryškina tokias problemas kaip atskiro šifravimo netinkamumas kelių vartotojų sistemose, internacionalizavimo ir neįgaliesiems skirtų įrankių trūkumas, atakų galimybė per įkrovos įkrovos klastojimą (užpuoliko įdiegtas įkrovos įkroviklis gali apsimesti originaliu įkrovos įkrovikliu ir paprašyti iššifravimo slaptažodžio), poreikis palaikyti kadrų buferį initrd, kad būtų reikalaujama įvesti slaptažodį.
Šaltinis: opennet.ru