Owen Taylor, kreatur tal-librerija GNOME Shell u Pango u membru tal-grupp ta 'ħidma għall-iżvilupp ta' Fedora for Workstations, ressaq pjan għall-encryption default ta 'diviżorji tas-sistema u direttorji tad-dar tal-utenti f'Fedora Workstation. Il-benefiċċji tal-bidla għall-kriptaġġ awtomatikament jinkludu protezzjoni tad-dejta f'każ ta 'serq ta' laptop, protezzjoni kontra attakki fuq apparati li ma jkollhomx nies magħhom, u ż-żamma tal-kunfidenzjalità u l-integrità barra mill-kaxxa mingħajr il-ħtieġa ta 'manipulazzjoni bla bżonn.
Skont l-abbozz tal-pjan ippreparat, huma jippjanaw li jużaw Btrfs fscrypt għall-encryption. Għal diviżorji tas-sistema, iċ-ċwievet tal-kriptaġġ huma ppjanati li jinħażnu fil-modulu TPM u jintużaw flimkien mal-firem diġitali użati biex jivverifikaw l-integrità tal-bootloader, il-kernel u l-initrd (jiġifieri, fl-istadju tal-boot tas-sistema, l-utent mhux se jkollu bżonn jidħol password biex jiddeċifra l-ħitan tas-sistema). Meta jiġu kkodifikati direttorji tad-dar, iċ-ċwievet huma ppjanati li jiġu ġġenerati abbażi tal-login u l-password tal-utent (id-direttorju tad-dar encrypted se jkun konness waqt il-login tal-utent).
Il-perjodu ta' żmien tal-implimentazzjoni għall-inizjattiva jiddependi mit-tranżizzjoni tad-distribuzzjoni għal immaġni tal-kernel unifikata UKI (Unified Kernel Image), li tgħaqqad f'fajl wieħed handler għat-tagħbija tal-kernel mill-UEFI (UEFI boot stub), immaġni tal-kernel Linux u l-ambjent tas-sistema initrd mgħobbi fil-memorja. Mingħajr l-appoġġ tal-UKI, huwa impossibbli li tiġi garantita l-immutabbiltà tal-kontenut tal-ambjent initrd, li huwa fejn jiġu determinati ċ-ċwievet għad-dekriptaġġ tas-sistema tal-fajls (pereżempju, attakkant jista' jiffalsifika l-initrd u jissimula prompt tal-password; biex jiġi evitat dan, huwa meħtieġ tagħbija verifikata tal-katina kollha qabel ma tiġi mmuntata s-sistema tal-fajls).
Fil-forma attwali tiegħu, l-installatur ta 'Fedora għandu għażla li jikkripta diviżorji fil-livell tal-blokk billi juża dm-crypt, billi juża passphrase separata li mhix marbuta mal-kont tal-utent. Din is-soluzzjoni tinnota problemi bħall-inadegwatezza għal kriptaġġ separat f'sistemi multi-utent, in-nuqqas ta' appoġġ għall-internazzjonalizzazzjoni u għodod għal persuni b'diżabilità, il-possibbiltà ta' attakki permezz ta' bootloader spoofing (bootloader installat minn attakkant jista' jippretendi li huwa l-oriġinali bootloader u titlob password ta' decryption), il-ħtieġa li tappoġġja framebuffer f'initrd biex tħeġġeġ password.
Sors: opennet.ru
