Owen Taylor, tvorca knižnice GNOME Shell a Pango a člen pracovnej skupiny pre vývoj Fedory for Workstations, predložil plán na predvolené šifrovanie systémových oddielov a domovských adresárov používateľov vo Fedora Workstation. Medzi výhody štandardného prechodu na šifrovanie patrí ochrana údajov v prípade krádeže notebooku, ochrana pred útokmi na bezobslužné zariadenia a zachovanie dôvernosti a integrity hneď po vybalení bez potreby zbytočnej manipulácie.
V súlade s pripraveným návrhom plánu plánujú na šifrovanie použiť Btrfs fscrypt. Pre systémové oddiely sa plánuje, že šifrovacie kľúče budú uložené v module TPM a budú použité v spojení s digitálnymi podpismi používanými na overenie integrity zavádzača, jadra a initrd (t. j. vo fáze zavádzania systému používateľ nebude musieť zadávať heslo na dešifrovanie systémových oddielov). Pri šifrovaní domovských adresárov sa plánuje generovanie kľúčov na základe prihlasovacieho mena a hesla používateľa (šifrovaný domovský adresár bude pripojený počas prihlásenia používateľa).
Načasovanie iniciatívy závisí od prechodu distribúcie na jednotný obraz jadra UKI (Unified Kernel Image), ktorý v jednom súbore spája obslužný program na načítanie jadra z UEFI (UEFI boot stub), obraz jadra Linuxu a systémové prostredie initrd. načítané do pamäte. Bez podpory UKI nie je možné zaručiť nemennosť obsahu prostredia initrd, v ktorom sa určujú kľúče na dešifrovanie FS (útočník môže napríklad nahradiť initrd a simulovať požiadavku na heslo, aby sa tomu zabránilo, pred montážou FS je potrebné overené stiahnutie celej reťaze).
Vo svojej súčasnej podobe má inštalačný program Fedory možnosť šifrovať oddiely na úrovni blokov pomocou dm-crypt pomocou samostatnej prístupovej frázy, ktorá nie je viazaná na používateľský účet. Toto riešenie poukazuje na také problémy, ako je nevhodnosť samostatného šifrovania v systémoch s viacerými používateľmi, nedostatočná podpora internacionalizácie a nástrojov pre ľudí so zdravotným postihnutím, možnosť útokov prostredníctvom spoofingu bootloaderu (bootloader nainštalovaný útočníkom môže predstierať, že je pôvodný bootloader a vyžiadať si heslo na dešifrovanie), potrebu podpory framebufferu v initrd na výzvu na zadanie hesla.
Zdroj: opennet.ru