Овен Тејлор, креатор на библиотеката GNOME Shell и Pango и член на работната група за развој на Fedora за работни станици, изнесе план за стандардно шифрирање на системските партиции и корисничките домашни директориуми во работната станица Fedora. Придобивките од префрлување на шифрирање стандардно вклучуваат заштита на податоците во случај на кражба на лаптоп, заштита од напади на уреди без надзор и одржување на доверливост и интегритет надвор од кутијата без потреба од непотребни манипулации.
Во согласност со подготвениот нацрт-план, планираат да користат Btrfs fscrypt за шифрирање. За системските партиции, клучевите за шифрирање се планирани да се складираат во TPM модулот и да се користат заедно со дигитални потписи што се користат за да се потврди интегритетот на подигнувачот, јадрото и initrd (т.е., во фазата на подигање на системот, корисникот нема да треба да внесува лозинка за дешифрирање системски партиции). При шифрирање на домашни директориуми, се планира да се генерираат клучеви врз основа на најавувањето и лозинката на корисникот (шифрираниот домашен именик ќе се поврзе при најава на корисникот).
Времето на иницијативата зависи од преминот на дистрибуцијата кон унифицирана слика на кернелот UKI (Unified Kernel Image), која ги комбинира во една датотека управувачот за вчитување на кернелот од UEFI (UEFI никулец за подигање), сликата на кернелот на Linux и околината на системот initrd вчитана во меморија. Без поддршка UKI, невозможно е да се гарантира непроменливоста на содржината на initrd околината, во која се одредуваат клучевите за дешифрирање на FS (на пример, напаѓачот може да го замени initrd и да симулира барање за лозинка; за да се избегне ова, потребно е потврдено преземање на целиот синџир пред да се монтира FS).
Во својата сегашна форма, инсталерот на Fedora има опција за шифрирање на партиции на ниво на блок користејќи dm-crypt, користејќи посебна фраза за лозинка која не е поврзана со корисничката сметка. Ова решение ги нагласува таквите проблеми како што се несоодветноста за посебно шифрирање во повеќекориснички системи, недостаток на поддршка за интернационализација и алатки за лицата со попреченост, можност за напади преку лажирање на подигнувачот (подигнувачот инсталиран од напаѓачот може да се преправа дека е оригиналниот подигнувач и побарајте лозинка за дешифрирање), потребата да се поддржи framebuffer во initrd за да се побара лозинка.
Извор: opennet.ru