Owen Taylor, krijues i bibliotekës GNOME Shell dhe Pango dhe anëtar i grupit të punës për zhvillimin e Fedora për Stacionet e Punës, ka paraqitur një plan për enkriptimin e parazgjedhur të ndarjeve të sistemit dhe direktorive shtëpiake të përdoruesve në Stacionin e Punës Fedora. Përfitimet e kalimit në enkriptim si parazgjedhje përfshijnë mbrojtjen e të dhënave në rast të vjedhjes së laptopit, mbrojtjen kundër sulmeve ndaj pajisjeve të pambikëqyrura dhe ruajtjen e konfidencialitetit dhe integritetit jashtë kutisë pa pasur nevojë për manipulime të panevojshme.
Në përputhje me draft planin e përgatitur, ata planifikojnë të përdorin Btrfs fscrypt për enkriptim. Për ndarjet e sistemit, çelësat e enkriptimit janë planifikuar të ruhen në modulin TPM dhe të përdoren së bashku me nënshkrimet dixhitale të përdorura për të verifikuar integritetin e ngarkuesit, kernelit dhe initrd (d.m.th., në fazën e nisjes së sistemit, përdoruesi nuk do të duhet të hyjë një fjalëkalim për të deshifruar ndarjet e sistemit). Kur kriptoni drejtoritë e shtëpisë, çelësat planifikohen të gjenerohen bazuar në hyrjen dhe fjalëkalimin e përdoruesit (drejtoria e koduar e shtëpisë do të lidhet gjatë hyrjes së përdoruesit).
Koha e nismës varet nga kalimi i shpërndarjes në një imazh të unifikuar të kernelit UKI (Imazhi i unifikuar i kernelit), i cili kombinon në një skedar mbajtësin për ngarkimin e kernelit nga UEFI (cung boot UEFI), imazhin e kernelit Linux dhe mjedisin e sistemit initrd ngarkuar në memorie. Pa mbështetjen e UKI, është e pamundur të garantohet pandryshueshmëria e përmbajtjes së mjedisit initrd, në të cilin përcaktohen çelësat për dekriptimin e FS (për shembull, një sulmues mund të zëvendësojë initrd dhe të simulojë një kërkesë për fjalëkalim; për të shmangur këtë, një kërkohet shkarkim i verifikuar i të gjithë zinxhirit përpara se të montoni FS).
Në formën e tij aktuale, instaluesi Fedora ka një opsion për të enkriptuar ndarjet në nivelin e bllokut duke përdorur dm-crypt, duke përdorur një frazë të veçantë kalimi që nuk është e lidhur me llogarinë e përdoruesit. Kjo zgjidhje nxjerr në pah probleme të tilla si papërshtatshmëria për kriptim të veçantë në sistemet me shumë përdorues, mungesa e mbështetjes për ndërkombëtarizimin dhe mjetet për personat me aftësi të kufizuara, mundësinë e sulmeve përmes mashtrimit të ngarkuesit të ngarkimit (një ngarkues i instaluar nga një sulmues mund të pretendojë të jetë ngarkuesi origjinal dhe kërkoni një fjalëkalim deshifrimi), nevoja për të mbështetur framebuffer në initrd për të kërkuar një fjalëkalim.
Burimi: opennet.ru