Owen Taylor ผู้สร้างไลบรารี GNOME Shell และ Pango และสมาชิกของคณะทำงานพัฒนา Fedora for Workstations ได้เสนอแผนสำหรับการเข้ารหัสเริ่มต้นของพาร์ติชันระบบและโฮมไดเร็กทอรีของผู้ใช้ใน Fedora Workstation ประโยชน์ของการเปลี่ยนไปใช้การเข้ารหัสตามค่าเริ่มต้น ได้แก่ การปกป้องข้อมูลในกรณีที่แล็ปท็อปถูกขโมย การป้องกันการโจมตีบนอุปกรณ์ที่ไม่ได้รับการดูแล และการรักษาความลับและความสมบูรณ์ทันทีที่แกะกล่องโดยไม่จำเป็นต้องจัดการที่ไม่จำเป็น
ตามแผนร่างที่เตรียมไว้ พวกเขาวางแผนที่จะใช้ Btrfs fscrypt สำหรับการเข้ารหัส สำหรับพาร์ติชันระบบ คีย์การเข้ารหัสได้รับการวางแผนให้จัดเก็บไว้ในโมดูล TPM และใช้ร่วมกับลายเซ็นดิจิทัลที่ใช้เพื่อตรวจสอบความสมบูรณ์ของบูตโหลดเดอร์ เคอร์เนล และ initrd (เช่น ที่ขั้นตอนการบูตระบบ ผู้ใช้จะไม่จำเป็นต้องป้อน รหัสผ่านเพื่อถอดรหัสพาร์ติชันระบบ) เมื่อเข้ารหัสโฮมไดเร็กตอรี่ จะมีการวางแผนสร้างคีย์ตามการล็อกอินและรหัสผ่านของผู้ใช้ (โฮมไดเร็กทอรีที่เข้ารหัสจะเชื่อมต่อระหว่างการล็อกอินของผู้ใช้)
ระยะเวลาของความคิดริเริ่มขึ้นอยู่กับการเปลี่ยนแปลงของการแจกจ่ายไปยังอิมเมจเคอร์เนลแบบรวม UKI (Unified Kernel Image) ซึ่งรวมตัวจัดการสำหรับการโหลดเคอร์เนลจาก UEFI (UEFI stub boot) อิมเมจเคอร์เนล Linux และสภาพแวดล้อมระบบ initrd ในไฟล์เดียว โหลดเข้าหน่วยความจำแล้ว หากไม่มีการสนับสนุน UKI ก็เป็นไปไม่ได้ที่จะรับประกันความคงที่ของเนื้อหาของสภาพแวดล้อมเริ่มต้น ซึ่งมีการกำหนดคีย์สำหรับการถอดรหัส FS (ตัวอย่างเช่น ผู้โจมตีสามารถแทนที่ initrd และจำลองคำขอรหัสผ่าน เพื่อหลีกเลี่ยงสิ่งนี้ จำเป็นต้องดาวน์โหลดทั้งเชนที่ผ่านการตรวจสอบก่อนติดตั้ง FS)
ในรูปแบบปัจจุบัน ตัวติดตั้ง Fedora มีตัวเลือกในการเข้ารหัสพาร์ติชันในระดับบล็อกโดยใช้ dm-crypt โดยใช้ข้อความรหัสผ่านแยกต่างหากที่ไม่เชื่อมโยงกับบัญชีผู้ใช้ โซลูชันนี้เน้นย้ำปัญหาต่างๆ เช่น ความไม่เหมาะสมสำหรับการเข้ารหัสแบบแยกในระบบที่มีผู้ใช้หลายราย การขาดการสนับสนุนสำหรับการทำให้เป็นสากลและเครื่องมือสำหรับผู้พิการ ความเป็นไปได้ของการโจมตีผ่านการปลอมแปลง bootloader (บูตโหลดเดอร์ที่ติดตั้งโดยผู้โจมตีสามารถปลอมแปลงเป็น bootloader ดั้งเดิมได้ และขอรหัสผ่านถอดรหัส) ความจำเป็นในการรองรับ framebuffer ใน initrd เพื่อขอรหัสผ่าน
ที่มา: opennet.ru