Ouen Teylor, GNOME Shell va Pango kutubxonasi yaratuvchisi va Fedora ish stantsiyalarini ishlab chiqish ishchi guruhi a'zosi, sukut bo'yicha Fedora Workstation-da tizim bo'limlari va foydalanuvchi uy kataloglarini shifrlash rejasini ilgari surdi. Sukut bo'yicha shifrlashga o'tishning afzalliklari qatoriga noutbuk o'g'irlangan taqdirda ma'lumotlarni himoya qilish, qarovsiz qolgan qurilmalarga hujumlardan himoya qilish, keraksiz manipulyatsiyalarsiz maxfiylik va yaxlitlikni saqlash kiradi.
Tayyorlangan loyiha loyihasiga muvofiq, ular Btrfs fscrypt shifrlash uchun foydalanishni rejalashtirmoqda. Tizim bo'limlari uchun shifrlash kalitlari TPM modulida saqlanishi va bootloader, yadro va initrd yaxlitligini tekshirish uchun foydalaniladigan raqamli imzolar bilan birgalikda ishlatilishi rejalashtirilgan (ya'ni tizimni yuklash bosqichida foydalanuvchiga kerak bo'lmaydi). tizim bo'limlari shifrini ochish uchun parolni kiritish). Uy kataloglarini shifrlashda ular foydalanuvchining login va paroliga asoslangan kalitlarni yaratishni rejalashtirmoqda (foydalanuvchi tizimga kirganida shifrlangan uy katalogi ulanadi).
Tashabbusning vaqti tarqatish to'plamining UKI (Unified Kernel Image) birlashgan yadro tasviriga o'tishiga bog'liq bo'lib, u bitta faylda yadroni UEFI (UEFI boot stub) dan yuklash uchun ishlov beruvchini, Linux yadro tasvirini va xotiraga yuklangan initrd tizim muhiti. UKI-ni qo'llab-quvvatlamasdan, fayl tizimini shifrlash kalitlari aniqlanadigan initrd muhiti tarkibining o'zgarmasligini kafolatlash mumkin emas (masalan, tajovuzkor initrd-ni o'zgartirishi va parol so'rovini simulyatsiya qilishi mumkin, buning oldini olish uchun, fayl tizimini o'rnatishdan oldin butun zanjirning tasdiqlangan yuklanishi talab qilinadi).
Hozirgi ko'rinishida Fedora o'rnatuvchisi foydalanuvchi hisobiga bog'lanmagan alohida parol yordamida dm-crypt bilan blok darajasidagi qismlarni shifrlash imkoniyatiga ega. Ushbu yechim ko'p foydalanuvchili tizimlarda alohida shifrlash uchun yaroqsizligi, nogironlar uchun xalqarolashtirish va vositalarni qo'llab-quvvatlamaslik, yuklash moslamasini almashtirish orqali hujumlarni amalga oshirish imkoniyati (buzg'unchi tomonidan o'rnatilgan bootloader o'zini asl bootloader sifatida ko'rsatishi mumkin) kabi muammolarni qayd etadi. va parolni hal qilish parolini so'rang), parolni so'rash uchun initrd-da framebuffer-ni qo'llab-quvvatlash zarurati.
Manba: opennet.ru