Шифроването във Fedora е предназначено като решение за сигурност за потребителя
Преди няколко дни новината гръмна това Оуен Тейлър, създател на GNOME Shell и библиотеката Pango и член на работната група за разработка на работни станции на Fedora, представи план за криптиране на системни дялове и домашните директории на потребителите по подразбиране във Fedora Workstation.
Ползите за да преминете към криптиране по подразбиране включват защита на данните при кражба на лаптоп, защита срещу атаки на устройства оставени без надзор, запазвайки поверителността и почтеност без нужда от излишни манипулации.
От доста време работната група за работни станции имаше отворени искания за подобряване на състоянието на криптиране във Fedora и по-специално за достигане до точката, в която можете да накарате инсталатора да шифрова системите по подразбиране. За да продължа напред, работих върху документ с изисквания и проект на план.
В много кратко резюме, планът е: Използвайте предстоящата поддръжка на btrfs fscrypt за шифроване на системни и домашни директории. Системата ще бъде шифрована по подразбиране с ключ за шифроване, съхраняван в TPM и свързан с подписите, използвани за подписване на буутлоудъра/ядрото/initrd, осигурявайки защита срещу подправяне, докато домашните директории ще бъдат шифровани с помощта на парола за потребителско влизане.
Според проектоплана подготвен, те планират да използват Btrfs fscrypt за криптиране. За системни дялове, ключовете за криптиране ще се съхраняват в модула TPM и те ще се използват заедно с цифрови подписи за проверка на целостта на буутлоудъра, ядрото и initrd (т.е. на етапа на зареждане на системата потребителят няма да трябва да въвежда парола за дешифриране на системни дялове).
Когато шифровате домашни директории, ключовете се планират да бъдат генерирани въз основа на данните за вход и парола на потребителя (шифрованата домашна директория ще бъде свързана, когато потребителят влезе в системата).
Времето на изпълнение на инициативата зависи от прехода от комплект за разпространение до унифициран образ на ядрото Великобритания (Unified Kernel Image), който съчетава драйвера за зареждане на ядрото от UEFI (UEFI Boot Stub), изображението на ядрото на Linux и системната среда initrd заредени в паметта във файл.
Без поддръжка на UKI е невъзможно да се гарантира неизменността на съдържанието на initrd средата, в която се определят ключовете за декриптиране на FS (например, атакуващ може да промени initrd и да симулира заявка за парола, за да избегне това, проверено необходимо е да се натовари цялата верига, преди да се монтира FS).
В сегашната си форма, инсталаторът на Fedora има опция за шифроване на дялове на ниво блок с dm-crypt, използвайки отделна парола, която не е свързана с потребителски акаунт.
Това искане представлява голяма промяна от Secure Boot като нещо, в което полагаме много усилия, но всъщност не правим много, към нещо, на което силно разчитаме, за да осигурим допълнителен слой сигурност за потребителя.
Ще ми е интересно да чуя, наред с други неща: * Има ли изисквания, които документът не обхваща? * Има ли други заплахи, които трябва да се опитаме да адресираме? …
Тази корекция посочва проблеми като неподходящост за отделно криптиране на многопотребителски системи, липса на поддръжка за интернационализация и инструменти за хора с увреждания, възможността за атаки чрез заместване на буутлоудър (бутлоудър, инсталиран от атакуващ, може да се преструва, че е оригинален буутлоудър и поискайте парола за декриптиране), необходимостта от поддръжка на framebuffer в initrd за искане на парола.
Накрая ако се интересувате да научите повече за това, можете да проверите подробностите В следващия линк.