Оуен Тейлор (Owen Taylor), творець GNOME Shell та бібліотеки Pango, що входить до робочої групи з розвитку Fedora для робочих станцій, виставив на обговорення план шифрування за умовчанням системних розділів та домашніх каталогів користувачів Fedora Workstation. З плюсів переходу до шифрування за умовчанням називається захист даних у разі крадіжки ноутбука, захист від атак на залишені без нагляду пристрої, підтримка конфіденційності та цілісності з коробки без необхідності зайвих маніпуляцій.
Відповідно до підготовленого чорнового плану для шифрування планують використовувати Btrfs fscrypt. Для системних розділів ключі шифрування планують зберігати в TPM-модулі та використовувати у прив'язці до цифрових підписів, які застосовуються для перевірки цілісності завантажувача, ядра та initrd (тобто на етапі завантаження системи користувачу не потрібно буде вводити пароль для розшифрування системних розділів). При шифруванні домашніх каталогів ключі планують генерувати на основі логіну та пароля користувача (підключення зашифрованого домашнього каталогу буде здійснюватися під час входу користувача до системи).
Терміни реалізації ініціативи залежать від переходу дистрибутива на уніфікований образ ядра UKI (Unified Kernel Image), що об'єднує в одному файлі обробник для завантаження ядра з UEFI (UEFI boot stub), образ ядра Linux і системне оточення initrd, що завантажується в пам'ять. Без підтримки UKI неможливо гарантувати незмінність вмісту оточення initrd, в якому здійснюється визначення ключів для розшифровки ФС (наприклад, атакуючий може підмінити initrd та симулювати запит пароля, щоб уникнути цього потрібно верифіковане завантаження всього ланцюжка до монтування ФС).
У поточному вигляді в установщику Fedora є опція для шифрування розділів на блочному рівні за допомогою dm-crypt, використовуючи окрему парольну фразу, не прив'язану до облікового запису користувача. У цьому рішенні відзначаються такі проблеми, як непридатність для роздільного шифрування в розрахованих на багато користувачів системах, відсутність підтримки інтернаціоналізації та засобів для людей з обмеженими можливостями, можливість здійснення атак через заміну завантажувача (встановлений атакуючим завантажувач може вдатися оригінальним завантажувачем і запросити пароль розшифровки), необхідність підтримки frame initrd для виведення запиту пароля.
Джерело: opennet.ru