Owen Taylor ผู้สร้างไลบรารี GNOME Shell และ Pango และสมาชิกของคณะทำงานพัฒนา Fedora for Workstations ได้เสนอแผนสำหรับการเข้ารหัสเริ่มต้นของพาร์ติชันระบบและโฮมไดเร็กทอรีของผู้ใช้ใน Fedora Workstation ประโยชน์ของการเปลี่ยนไปใช้การเข้ารหัสตามค่าเริ่มต้น ได้แก่ การปกป้องข้อมูลในกรณีที่แล็ปท็อปถูกขโมย การป้องกันการโจมตีบนอุปกรณ์ที่ไม่ได้รับการดูแล และการรักษาความลับและความสมบูรณ์ทันทีที่แกะกล่องโดยไม่จำเป็นต้องจัดการที่ไม่จำเป็น
ตามแผนร่างที่เตรียมไว้ พวกเขาวางแผนที่จะใช้ Btrfs fscrypt สำหรับการเข้ารหัส สำหรับพาร์ติชันระบบ คีย์การเข้ารหัสได้รับการวางแผนให้จัดเก็บไว้ในโมดูล TPM และใช้ร่วมกับลายเซ็นดิจิทัลที่ใช้เพื่อตรวจสอบความสมบูรณ์ของบูตโหลดเดอร์ เคอร์เนล และ initrd (เช่น ที่ขั้นตอนการบูตระบบ ผู้ใช้จะไม่จำเป็นต้องป้อน รหัสผ่านเพื่อถอดรหัสพาร์ติชันระบบ) เมื่อเข้ารหัสโฮมไดเร็กตอรี่ จะมีการวางแผนสร้างคีย์ตามการล็อกอินและรหัสผ่านของผู้ใช้ (โฮมไดเร็กทอรีที่เข้ารหัสจะเชื่อมต่อระหว่างการล็อกอินของผู้ใช้)
Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющий в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется определение ключей для расшифровки ФС (например, атакующий может подменить initrd и симулировать запрос пароля, чтобы этого избежать требуется верифицированная загрузка всей цепочки до монтирования ФС).
ในรูปแบบปัจจุบัน ตัวติดตั้ง Fedora มีตัวเลือกในการเข้ารหัสพาร์ติชันในระดับบล็อกโดยใช้ dm-crypt โดยใช้ข้อความรหัสผ่านแยกต่างหากที่ไม่เชื่อมโยงกับบัญชีผู้ใช้ โซลูชันนี้เน้นย้ำปัญหาต่างๆ เช่น ความไม่เหมาะสมสำหรับการเข้ารหัสแบบแยกในระบบที่มีผู้ใช้หลายราย การขาดการสนับสนุนสำหรับการทำให้เป็นสากลและเครื่องมือสำหรับผู้พิการ ความเป็นไปได้ของการโจมตีผ่านการปลอมแปลง bootloader (บูตโหลดเดอร์ที่ติดตั้งโดยผู้โจมตีสามารถปลอมแปลงเป็น bootloader ดั้งเดิมได้ และขอรหัสผ่านถอดรหัส) ความจำเป็นในการรองรับ framebuffer ใน initrd เพื่อขอรหัสผ่าน
ที่มา: opennet.ru
