Owen Taylor, pencipta GNOME Shell dan perpustakaan Pango, dan ahli Fedora for Workstation Development Working Group, telah mengemukakan rancangan untuk menyulitkan partition sistem dan direktori rumah pengguna dalam Fedora Workstation secara lalai. Faedah beralih kepada penyulitan secara lalai termasuk melindungi data sekiranya komputer riba dicuri, melindungi daripada serangan pada peranti yang dibiarkan tanpa pengawasan, mengekalkan kerahsiaan dan integriti di luar kotak tanpa memerlukan manipulasi yang tidak perlu.
Selaras dengan rancangan draf yang disediakan, mereka merancang untuk menggunakan Btrfs fscrypt untuk penyulitan. Untuk partition sistem, kunci penyulitan dirancang untuk disimpan dalam modul TPM dan digunakan bersama dengan tandatangan digital yang digunakan untuk mengesahkan integriti pemuat but, kernel dan initrd (iaitu, pada peringkat but sistem, pengguna tidak perlu untuk memasukkan kata laluan untuk menyahsulit partition sistem). Apabila menyulitkan direktori rumah, mereka merancang untuk menjana kunci berdasarkan log masuk dan kata laluan pengguna (direktori rumah yang disulitkan akan disambungkan apabila pengguna log masuk ke sistem).
Masa inisiatif bergantung pada peralihan kit pengedaran kepada imej kernel bersatu UKI (Imej Kernel Bersepadu), yang menggabungkan dalam satu fail pengendali untuk memuatkan kernel daripada UEFI (stub but UEFI), imej kernel Linux dan persekitaran sistem initrd dimuatkan ke dalam memori. Tanpa sokongan UKI, adalah mustahil untuk menjamin invarian kandungan persekitaran initrd, di mana kunci untuk menyahsulit sistem fail ditentukan (contohnya, penyerang boleh menukar initrd dan mensimulasikan permintaan kata laluan, untuk mengelakkan ini, but yang disahkan bagi keseluruhan rantai diperlukan sebelum memasang sistem fail).
Dalam bentuk semasa, pemasang Fedora mempunyai pilihan untuk menyulitkan partition pada tahap blok dengan dm-crypt menggunakan frasa laluan berasingan yang tidak terikat pada akaun pengguna. Penyelesaian ini mencatatkan masalah seperti ketidaksesuaian untuk penyulitan berasingan dalam sistem berbilang pengguna, kekurangan sokongan untuk pengantarabangsaan dan alat untuk orang kurang upaya, kemungkinan melakukan serangan melalui penggantian pemuat but (pemuat but yang dipasang oleh penyerang boleh berpura-pura menjadi pemuat but asal dan meminta kata laluan penyahsulitan), keperluan untuk menyokong framebuffer dalam initrd untuk meminta kata laluan.
Sumber: opennet.ru