Owen Taylor، GNOME شيل ۽ Pango لائبريري جو خالق ۽ Fedora for Workstations ڊولپمينٽ ورڪنگ گروپ جو ميمبر، Fedora Workstation ۾ سسٽم پارٽيشنز ۽ يوزر هوم ڊاريڪٽريز جي ڊفالٽ انڪريپشن لاءِ هڪ منصوبو پيش ڪيو آهي. ڊفالٽ طور تي انڪرپشن تي سوئچ ڪرڻ جا فائدا شامل آهن ليپ ٽاپ چوري جي صورت ۾ ڊيٽا جي حفاظت، غير ضروري ڊوائيسز تي حملن جي خلاف تحفظ، ۽ غير ضروري ڦيرڦار جي ضرورت کان سواء دٻي جي رازداري ۽ سالميت کي برقرار رکڻ.
تيار ڪيل مسودي جي منصوبي جي مطابق، اهي Btrfs fscrypt استعمال ڪرڻ جو ارادو رکن ٿا. سسٽم جي ورهاڱي لاء، انڪرپشن ڪيز کي TPM ماڊل ۾ ذخيرو ڪرڻ جي منصوبابندي ڪئي وئي آهي ۽ بوٽ لوڊر، ڪرنل ۽ انٽيرڊ جي سالميت جي تصديق ڪرڻ لاء استعمال ٿيل ڊجيٽل دستخط سان گڏ استعمال ڪيو ويندو آهي (يعني، سسٽم بوٽ اسٽيج تي، صارف کي داخل ٿيڻ جي ضرورت نه هوندي. سسٽم ورهاڱي کي ختم ڪرڻ لاء پاسورڊ). جڏهن گهر ڊاريڪٽري کي انڪرپٽ ڪيو وڃي ٿو، چاٻيون ٺاهيا ويندا آهن صارف جي لاگ ان ۽ پاسورڊ جي بنياد تي (انڪريپ ٿيل گهر ڊاريڪٽري صارف جي لاگ ان دوران ڳنڍيل هوندي).
شروعات جي وقت جو دارومدار ورهائڻ جي منتقلي تي هڪ متحد ڪرنل تصوير UKI (Unified Kernel Image) تي آهي، جيڪو هڪ فائل ۾ گڏ ڪري ٿو هينڊلر کي UEFI (UEFI بوٽ اسٽب)، لينڪس ڪرنل تصوير ۽ initrd سسٽم ماحول مان ڪرنل لوڊ ڪرڻ لاءِ. ياداشت ۾ ڀريو پيو. UKI جي مدد کان سواءِ، initrd ماحول جي مواد جي تبديليءَ جي ضمانت ڏيڻ ناممڪن آهي، جنهن ۾ FS کي ڊيڪرپ ڪرڻ لاءِ ڪنجيون مقرر ڪيون ويون آهن (مثال طور، هڪ حملو ڪندڙ initrd کي تبديل ڪري سگهي ٿو ۽ پاسورڊ جي درخواست کي نقل ڪري سگهي ٿو؛ ان کان بچڻ لاءِ، هڪ مڪمل زنجير جي تصديق ٿيل ڊائون لوڊ ضروري آهي FS کي نصب ڪرڻ کان اڳ).
ان جي موجوده شڪل ۾، Fedora انسٽالر وٽ هڪ اختيار آهي بلاڪ ليول تي dm-crypt استعمال ڪندي پارٽيشنز کي انڪرپٽ ڪرڻ لاءِ، هڪ الڳ پاسفريس استعمال ڪندي جيڪو صارف کاتي سان جڙيل ناهي. هي حل اهڙن مسئلن کي نمايان ڪري ٿو جيئن ملٽي يوزر سسٽم ۾ الڳ انڪرپشن لاءِ غير موزونيت، بين الاقواميت لاءِ سپورٽ جي کوٽ ۽ معذور ماڻهن لاءِ اوزار، بوٽ لوڊر اسپوفنگ ذريعي حملن جو امڪان (هڪ حملو ڪندڙ طرفان نصب ڪيل بوٽ لوڊر اصل بوٽ لوڊر هجڻ جو فرض ڪري سگهي ٿو. ۽ هڪ ڊيڪرپشن پاسورڊ جي درخواست ڪريو)، پاسورڊ لاء فوري طور تي initrd ۾ فريم بفر کي سپورٽ ڪرڻ جي ضرورت آهي.
جو ذريعو: opennet.ru