Owen Taylor, muundaji wa GNOME Shell na maktaba ya Pango, na mwanachama wa Fedora for Workstation Development Group Working Group, ameweka mbele mpango wa kusimba sehemu za mfumo na saraka za nyumbani za watumiaji katika Fedora Workstation kwa chaguo-msingi. Manufaa ya kuhamia kwenye usimbaji fiche kwa chaguomsingi ni pamoja na kulinda data iwapo kompyuta ya mkononi itaibiwa, kulinda dhidi ya mashambulizi ya vifaa vilivyoachwa bila kutunzwa, kudumisha usiri na uadilifu nje ya kisanduku bila kuhitaji udukuzi usio wa lazima.
Kwa mujibu wa rasimu ya mpango uliotayarishwa, wanapanga kutumia Btrfs fscrypt kwa usimbaji fiche. Kwa sehemu za mfumo, funguo za usimbaji fiche zimepangwa kuhifadhiwa kwenye moduli ya TPM na kutumika pamoja na saini za dijiti zinazotumiwa kuthibitisha uadilifu wa bootloader, kernel, na initrd (yaani, katika hatua ya kuwasha mfumo, mtumiaji hatahitaji kuingiza nenosiri ili kusimbua sehemu za mfumo). Wakati wa kusimba saraka za nyumbani, wanapanga kutengeneza funguo kulingana na kuingia na nenosiri la mtumiaji (saraka iliyosimbwa kwa njia fiche itaunganishwa mtumiaji anapoingia kwenye mfumo).
Muda wa mpango unategemea mpito wa kifaa cha usambazaji hadi picha ya kernel iliyounganishwa UKI (Picha ya Kernel Iliyounganishwa), ambayo inachanganya katika faili moja kidhibiti cha kupakia kernel kutoka kwa UEFI (UEFI boot stub), picha ya Linux kernel na mazingira ya mfumo wa initrd iliyopakiwa kwenye kumbukumbu. Bila usaidizi wa UKI, haiwezekani kuhakikisha kutofautiana kwa yaliyomo kwenye mazingira ya initrd, ambayo funguo za kufuta mfumo wa faili zimedhamiriwa (kwa mfano, mshambuliaji anaweza kubadilisha initrd na kuiga ombi la nenosiri, ili kuepuka hili, buti iliyothibitishwa ya mlolongo mzima inahitajika kabla ya kuweka mfumo wa faili).
Katika hali yake ya sasa, kisakinishi cha Fedora kina chaguo la kusimba sehemu kwa njia fiche katika kiwango cha kuzuia na dm-crypt kwa kutumia kaulisiri tofauti ambayo haijafungwa kwa akaunti ya mtumiaji. Suluhisho hili linabainisha matatizo kama vile kutofaa kwa usimbaji tofauti katika mifumo ya watumiaji wengi, ukosefu wa usaidizi wa utangazaji wa kimataifa na zana kwa watu wenye ulemavu, uwezekano wa kufanya mashambulizi kupitia uingizwaji wa bootloader (bootloader iliyosakinishwa na mshambulizi inaweza kujifanya kuwa bootloader ya awali. na uombe nenosiri la usimbuaji), hitaji la kusaidia fremu katika initrd ili kuuliza nenosiri.
Chanzo: opennet.ru