Овен Тејлор, креатор ГНОМЕ Схелл и Панго библиотеке и члан радне групе за развој Федора за радне станице, изнео је план за подразумевано шифровање системских партиција и корисничких кућних директоријума у Федора радној станици. Предности подразумеваног преласка на шифровање укључују заштиту података у случају крађе лаптопа, заштиту од напада на уређаје без надзора и одржавање поверљивости и интегритета без потребе за непотребном манипулацијом.
У складу са припремљеним нацртом плана, планирају да за шифровање користе Бтрфс фсцрипт. За системске партиције, планирано је да се кључеви за шифровање чувају у ТПМ модулу и користе заједно са дигиталним потписима који се користе за проверу интегритета покретача, кернела и инитрд-а (тј., у фази покретања система, корисник неће морати да улази лозинка за дешифровање системских партиција). Приликом шифровања кућних директоријума, планирано је да се генеришу кључеви на основу корисничког имена и лозинке (шифровани кућни директоријум ће бити повезан током пријављивања корисника).
Тајминг иницијативе зависи од преласка дистрибуције на обједињену слику кернела УКИ (Унифиед Кернел Имаге), која комбинује у једној датотеци руковалац за учитавање кернела из УЕФИ (УЕФИ боот стуб), слику језгра Линука и инитрд системско окружење учитан у меморију. Без УКИ подршке, немогуће је гарантовати непроменљивост садржаја инитрд окружења, у којем се одређују кључеви за дешифровање ФС (на пример, нападач може да замени инитрд и симулира захтев за лозинком; да би се то избегло, потребно је проверено преузимање целог ланца пре монтирања ФС).
У свом тренутном облику, Федора инсталатер има опцију да шифрује партиције на нивоу блока помоћу дм-црипт, користећи посебну лозинку која није везана за кориснички налог. Ово решење примећује проблеме као што су неприкладност за одвојено шифровање у системима са више корисника, недостатак подршке за интернационализацију и алате за особе са инвалидитетом, могућност напада путем лажирања покретача (боотлоадер који је инсталирао нападач може да се претвара да је оригинал боотлоадер и захтевајте лозинку за дешифровање), потребу да се подржи бафер оквира у инитрд-у да би се затражила лозинка.
Извор: опеннет.ру
