Овен Тејлор, креатор на библиотеката GNOME Shell и Pango и член на работната група за развој на Fedora за работни станици, изнесе план за стандардно шифрирање на системските партиции и корисничките домашни директориуми во работната станица Fedora. Придобивките од префрлување на шифрирање стандардно вклучуваат заштита на податоците во случај на кражба на лаптоп, заштита од напади на уреди без надзор и одржување на доверливост и интегритет надвор од кутијата без потреба од непотребни манипулации.
Во согласност со подготвениот нацрт-план, планираат да користат Btrfs fscrypt за шифрирање. За системските партиции, клучевите за шифрирање се планирани да се складираат во TPM модулот и да се користат заедно со дигитални потписи што се користат за да се потврди интегритетот на подигнувачот, јадрото и initrd (т.е., во фазата на подигање на системот, корисникот нема да треба да внесува лозинка за дешифрирање системски партиции). При шифрирање на домашни директориуми, се планира да се генерираат клучеви врз основа на најавувањето и лозинката на корисникот (шифрираниот домашен именик ќе се поврзе при најава на корисникот).
Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющий в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется определение ключей для расшифровки ФС (например, атакующий может подменить initrd и симулировать запрос пароля, чтобы этого избежать требуется верифицированная загрузка всей цепочки до монтирования ФС).
Во својата сегашна форма, инсталерот на Fedora има опција за шифрирање на партиции на ниво на блок користејќи dm-crypt, користејќи посебна фраза за лозинка која не е поврзана со корисничката сметка. Ова решение ги нагласува таквите проблеми како што се несоодветноста за посебно шифрирање во повеќекориснички системи, недостаток на поддршка за интернационализација и алатки за лицата со попреченост, можност за напади преку лажирање на подигнувачот (подигнувачот инсталиран од напаѓачот може да се преправа дека е оригиналниот подигнувач и побарајте лозинка за дешифрирање), потребата да се поддржи framebuffer во initrd за да се побара лозинка.
Извор: opennet.ru
