Owen Taylor, panyipta perpustakaan GNOME Shell sareng Pango sareng anggota grup kerja pangembangan Fedora for Workstations, parantos ngadamel rencana pikeun énkripsi standar partisi sistem sareng diréktori bumi pangguna di Fedora Workstation. Mangpaat pindah ka enkripsi sacara standar kaasup panyalindungan data bisi maling laptop, panyalindungan ngalawan serangan dina alat unattended, sarta ngajaga karusiahan jeung integritas out of the box tanpa merlukeun manipulasi nu teu perlu.
Luyu sareng draf rencana anu disusun, aranjeunna ngarencanakeun ngagunakeun Btrfs fscrypt pikeun énkripsi. Pikeun partisi sistem, konci enkripsi direncanakeun pikeun disimpen dina modul TPM sareng dianggo babarengan sareng tanda tangan digital anu dianggo pikeun pariksa integritas bootloader, kernel sareng initrd (nyaéta, dina tahap boot sistem, pangguna henteu kedah lebetkeun. kecap akses pikeun ngadekrip partisi sistem). Nalika énkripsi diréktori bumi, konci direncanakeun bakal didamel dumasar kana login sareng kecap akses pangguna (diréktori bumi énkripsi bakal dihubungkeun nalika login pangguna).
Waktu prakarsa gumantung kana transisi distribusi kana gambar kernel ngahijikeun UKI (Gambar Kernel Unified), anu ngagabungkeun dina hiji file panangan pikeun ngamuat kernel tina UEFI (boot UEFI), gambar kernel Linux sareng lingkungan sistem initrd. dimuat kana mémori. Tanpa dukungan UKI, mustahil pikeun ngajamin invariansi eusi lingkungan initrd, dimana konci pikeun ngadekrip FS ditangtukeun (contona, panyerang tiasa ngagentos initrd sareng simulasi pamundut sandi; pikeun nyegah ieu, a diverifikasi undeuran sakabéh ranté diperlukeun saméméh ningkatna FS).
Dina bentuk ayeuna, pamasangan Fedora ngagaduhan pilihan pikeun énkripsi partisi dina tingkat blok nganggo dm-crypt, nganggo frasa sandi anu misah anu henteu kabeungkeut kana akun pangguna. Solusi ieu nyorot masalah sapertos henteu cocog pikeun enkripsi anu misah dina sistem multi-pamaké, kurangna dukungan pikeun internasionalisasi sareng alat pikeun jalma anu cacad, kamungkinan serangan ngaliwatan spoofing bootloader (bootloader anu dipasang ku panyerang tiasa pura-pura janten bootloader asli. sareng nyuhunkeun kecap akses dekripsi), peryogi ngadukung framebuffer di initrd pikeun ngajantenkeun kecap akses.
sumber: opennet.ru