Ouens Teilors, GNOME Shell un Pango bibliotēkas veidotājs un Fedora for Workstations izstrādes darba grupas dalībnieks, ir izvirzījis plānu sistēmas nodalījumu un lietotāju mājas direktoriju noklusējuma šifrēšanai Fedora Workstation. Priekšrocības, ko sniedz pāreja uz šifrēšanu pēc noklusējuma, ietver datu aizsardzību klēpjdatora zādzības gadījumā, aizsardzību pret uzbrukumiem bez uzraudzības atstātām ierīcēm, kā arī konfidencialitātes un integritātes saglabāšanu bez nepieciešamības veikt nevajadzīgas manipulācijas.
Saskaņā ar sagatavoto plāna projektu viņi plāno šifrēšanai izmantot Btrfs fscrypt. Sistēmas nodalījumiem šifrēšanas atslēgas ir plānots saglabāt TPM modulī un izmantot kopā ar ciparparakstiem, ko izmanto, lai pārbaudītu sāknēšanas ielādētāja, kodola un initrd integritāti (t.i., sistēmas sāknēšanas stadijā lietotājam nebūs jāievada paroli sistēmas nodalījumu atšifrēšanai). Šifrējot mājas direktorijus, atslēgas plānots ģenerēt, pamatojoties uz lietotāja pieteikšanos un paroli (šifrētais mājas direktorijs tiks savienots lietotāja pieteikšanās laikā).
Iniciatīvas laiks ir atkarīgs no izplatīšanas pārejas uz vienotu kodola attēlu UKI (Unified Kernel Image), kas vienā failā apvieno apdarinātāju kodola ielādei no UEFI (UEFI boot stub), Linux kodola attēlu un initrd sistēmas vidi. ielādēts atmiņā. Bez UKI atbalsta nav iespējams garantēt initrd vides satura nemainīgumu, kurā tiek noteiktas FS atšifrēšanas atslēgas (piemēram, uzbrucējs var aizstāt initrd un simulēt paroles pieprasījumu; lai no tā izvairītos, pirms FS uzstādīšanas ir nepieciešama pārbaudīta visas ķēdes lejupielāde).
Pašreizējā formā Fedora instalētājam ir iespēja šifrēt nodalījumus bloka līmenī, izmantojot dm-crypt, izmantojot atsevišķu ieejas frāzi, kas nav saistīta ar lietotāja kontu. Šis risinājums izceļ tādas problēmas kā nepiemērotība atsevišķai šifrēšanai vairāku lietotāju sistēmās, internacionalizācijas atbalsta un rīku trūkums cilvēkiem ar invaliditāti, uzbrukumu iespējamība, izmantojot sāknēšanas ielādētāja viltošanu (uzbrucēja instalēts sāknēšanas ielādētājs var izlikties par sākotnējo sāknēšanas ielādētāju un pieprasīt atšifrēšanas paroli), nepieciešamība atbalstīt kadru buferi initrd, lai pieprasītu paroli.
Avots: opennet.ru