پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > فیڈورا بطور ڈیفالٹ فائل سسٹم انکرپشن استعمال کرنے پر غور کر رہا ہے۔

فیڈورا بطور ڈیفالٹ فائل سسٹم انکرپشن استعمال کرنے پر غور کر رہا ہے۔

اوون ٹیلر، گنووم شیل اور پینگو لائبریری کے خالق اور فیڈورا فار ورک سٹیشنز ڈویلپمنٹ ورکنگ گروپ کے رکن، نے فیڈورا ورک سٹیشن میں سسٹم پارٹیشنز اور صارف کی ہوم ڈائریکٹریز کی ڈیفالٹ انکرپشن کے لیے ایک منصوبہ پیش کیا ہے۔ ڈیفالٹ طور پر انکرپشن پر سوئچ کرنے کے فوائد میں لیپ ٹاپ کی چوری کی صورت میں ڈیٹا کا تحفظ، غیر حاضر آلات پر حملوں سے تحفظ، اور غیر ضروری ہیرا پھیری کی ضرورت کے بغیر رازداری اور سالمیت کو باکس سے باہر برقرار رکھنا شامل ہے۔

تیار کردہ ڈرافٹ پلان کے مطابق، وہ Btrfs fscrypt کو خفیہ کاری کے لیے استعمال کرنے کا ارادہ رکھتے ہیں۔ سسٹم پارٹیشنز کے لیے، انکرپشن کیز کو TPM ماڈیول میں اسٹور کرنے کا منصوبہ بنایا گیا ہے اور بوٹ لوڈر، کرنل اور initrd کی سالمیت کی تصدیق کے لیے استعمال ہونے والے ڈیجیٹل دستخطوں کے ساتھ استعمال کیا جائے گا (یعنی، سسٹم بوٹ مرحلے پر، صارف کو داخل ہونے کی ضرورت نہیں ہوگی۔ سسٹم پارٹیشنز کو ڈکرپٹ کرنے کے لیے پاس ورڈ)۔ ہوم ڈائریکٹریز کو خفیہ کرتے وقت، صارف کے لاگ ان اور پاس ورڈ کی بنیاد پر چابیاں تیار کرنے کا منصوبہ بنایا جاتا ہے (انکرپٹڈ ہوم ڈائرکٹری صارف کے لاگ ان کے دوران منسلک ہو جائے گی)۔

پہل کا وقت تقسیم کے یونیفائیڈ کرنل امیج UKI (یونیفائیڈ کرنل امیج) میں منتقلی پر منحصر ہے، جو UEFI (UEFI بوٹ اسٹب)، لینکس کرنل امیج اور initrd سسٹم ماحول سے کرنل لوڈ کرنے کے لیے ہینڈلر کو ایک فائل میں جوڑتا ہے۔ میموری میں بھری ہوئی. UKI کی مدد کے بغیر، initrd ماحول کے مواد کی تبدیلی کی ضمانت دینا ناممکن ہے، جس میں FS کو ڈکرپٹ کرنے کی کلیدوں کا تعین کیا جاتا ہے (مثال کے طور پر، حملہ آور initrd کی جگہ لے سکتا ہے اور پاس ورڈ کی درخواست کی نقل کر سکتا ہے؛ اس سے بچنے کے لیے، a FS کو نصب کرنے سے پہلے پوری چین کی تصدیق شدہ ڈاؤن لوڈ کی ضرورت ہے)۔

اس کی موجودہ شکل میں، فیڈورا انسٹالر کے پاس dm-crypt کا استعمال کرتے ہوئے بلاک سطح پر پارٹیشنز کو خفیہ کرنے کا اختیار ہے، ایک علیحدہ پاس فریز استعمال کرتے ہوئے جو صارف کے اکاؤنٹ سے منسلک نہیں ہے۔ یہ حل ایسے مسائل پر روشنی ڈالتا ہے جیسے کثیر صارف کے نظاموں میں علیحدہ خفیہ کاری کے لیے غیر موزوں ہونا، بین الاقوامی کاری کے لیے تعاون کی کمی اور معذور افراد کے لیے ٹولز، بوٹ لوڈر سپوفنگ کے ذریعے حملوں کا امکان (حملہ آور کے ذریعے نصب کردہ بوٹ لوڈر اصل بوٹ لوڈر ہونے کا بہانہ کر سکتا ہے۔ اور ایک ڈکرپشن پاس ورڈ کی درخواست کریں)، پاس ورڈ کے لیے اشارہ کرنے کے لیے initrd میں فریم بفر کو سپورٹ کرنے کی ضرورت ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں