GNOME Shell болон Pango номын санг бүтээгч, Fedora for Workstations хөгжүүлэх ажлын хэсгийн гишүүн Оуэн Тейлор Fedora Workstation дахь системийн хуваалтууд болон хэрэглэгчийн гэрийн лавлахуудыг анхдагч шифрлэх төлөвлөгөөг дэвшүүлжээ. Анхдагч байдлаар шифрлэлт рүү шилжихийн давуу тал нь зөөврийн компьютер хулгайлагдсан тохиолдолд өгөгдлийг хамгаалах, хараа хяналтгүй төхөөрөмж рүү халдахаас хамгаалах, нууцлал, бүрэн бүтэн байдлыг хадгалах, шаардлагагүй засвар хийх шаардлагагүй болно.
Бэлтгэсэн төслийн төлөвлөгөөний дагуу тэд Btrfs fscrypt-ийг шифрлэхэд ашиглахаар төлөвлөж байна. Системийн хуваалтуудын хувьд шифрлэлтийн түлхүүрүүдийг TPM модульд хадгалахаар төлөвлөж байгаа бөгөөд ачаалагч, цөм болон initrd-ийн бүрэн бүтэн байдлыг шалгахад ашигладаг дижитал гарын үсэгтэй хамт ашиглахаар төлөвлөж байна (жишээ нь, системийг ачаалах үе шатанд хэрэглэгч оруулах шаардлагагүй болно. системийн хуваалтыг тайлах нууц үг). Гэрийн лавлахуудыг шифрлэхдээ хэрэглэгчийн нэвтрэх болон нууц үгэнд үндэслэн түлхүүрүүдийг үүсгэхээр төлөвлөж байна (хэрэглэгчийн нэвтрэх үед шифрлэгдсэн гэрийн лавлах холбогдоно).
Санаачлага хийх хугацаа нь түгээлтийн нэгдмэл цөмийн дүрс UKI (Unified Kernel Image) руу шилжихээс шалтгаална. Энэ нь UEFI (UEFI ачаалах stub), Линукс цөмийн зураг болон initrd системийн орчноос цөм ачаалах зохицуулагчийг нэг файлд нэгтгэдэг. санах ойд ачаалагдсан. UKI-ийн дэмжлэггүйгээр FS-ийн шифрийг тайлах түлхүүрүүдийг тодорхойлсон initrd орчны агуулгын өөрчлөгдөөгүй байдлыг баталгаажуулах боломжгүй (жишээлбэл, халдагч initrd-г орлуулж, нууц үгийн хүсэлтийг дуурайж болно; үүнээс зайлсхийхийн тулд FS-ийг холбохоос өмнө бүх гинжийг баталгаажуулсан татаж авах шаардлагатай).
Одоогийн хэлбэрээр Fedora суулгагч нь хэрэглэгчийн бүртгэлтэй холбоогүй тусдаа нэвтрэх үг ашиглан dm-crypt ашиглан блокийн түвшинд хуваалтыг шифрлэх боломжтой. Энэхүү шийдэл нь олон хэрэглэгчийн системд тусад нь шифрлэхэд тохиромжгүй, хөгжлийн бэрхшээлтэй хүмүүст зориулсан олон улсын хэлбэр, багаж хэрэгсэл дутмаг, ачаалагчийг хууран мэхлэх замаар халдлага хийх боломжтой (халдагчийн суулгасан ачаалагч нь анхны ачаалагч гэж дүр эсгэх боломжтой) зэрэг асуудлуудыг онцолж байна. болон код тайлах нууц үг хүсэх), нууц үг асуухын тулд initrd-д framebuffer-ийг дэмжих шаардлагатай.
Эх сурвалж: opennet.ru