Owen Taylor, ustvarjalec knjižnice GNOME Shell in Pango ter član razvojne delovne skupine Fedora for Workstations, je predstavil načrt za privzeto šifriranje sistemskih particij in uporabniških domačih imenikov v Fedora Workstation. Prednosti prehoda na privzeto šifriranje vključujejo zaščito podatkov v primeru kraje prenosnega računalnika, zaščito pred napadi na nenadzorovane naprave ter ohranjanje zaupnosti in celovitosti takoj po namestitvi brez potrebe po nepotrebni manipulaciji.
V skladu s pripravljenim osnutkom načrta nameravajo za šifriranje uporabiti Btrfs fscrypt. Za sistemske particije je predvideno, da bodo šifrirni ključi shranjeni v modulu TPM in uporabljeni v povezavi z digitalnimi podpisi, ki se uporabljajo za preverjanje celovitosti zagonskega nalagalnika, jedra in initrd (tj. v fazi zagona sistema uporabniku ne bo treba vnesti geslo za dešifriranje sistemskih particij). Pri šifriranju domačih imenikov je predvideno generiranje ključev na podlagi uporabniškega imena in gesla (šifrirani domači imenik bo povezan med prijavo uporabnika).
Čas pobude je odvisen od prehoda distribucije na enotno sliko jedra UKI (Unified Kernel Image), ki v eni datoteki združuje upravljalnik za nalaganje jedra iz UEFI (UEFI boot stub), sliko jedra Linux in sistemsko okolje initrd naložen v pomnilnik. Brez podpore UKI je nemogoče zagotoviti nespremenljivost vsebine okolja initrd, v katerem so določeni ključi za dešifriranje FS (napadalec lahko na primer zamenja initrd in simulira zahtevo za geslo; da bi se temu izognil, pred namestitvijo FS je potreben preverjen prenos celotne verige).
V svoji trenutni obliki ima namestitveni program Fedora možnost šifriranja particij na ravni bloka z uporabo dm-crypt z uporabo ločenega gesla, ki ni vezano na uporabniški račun. Ta rešitev poudarja težave, kot so neprimernost za ločeno šifriranje v večuporabniških sistemih, pomanjkanje podpore za internacionalizacijo in orodja za invalide, možnost napadov s ponarejanjem zagonskega nalagalnika (zagonski nalagalnik, ki ga je namestil napadalec, se lahko pretvarja, da je izvirni zagonski nalagalnik in zahtevajte geslo za dešifriranje), potrebo po podpori okvirnega medpomnilnika v initrd za poziv za geslo.
Vir: opennet.ru