El cifrado en Fedora pretende ser una solución de seguridad para el usuario
Hace pocos días se dio a conocer la noticia de que Owen Taylor, creador de GNOME Shell y la biblioteca Pango, y miembro del Grupo de trabajo de desarrollo de estaciones de trabajo de Fedora, presentó un plan para cifrar las particiones del sistema y los directorios de inicio de los usuarios de forma predeterminada en Fedora Workstation.
Los beneficios de pasar al cifrado de forma predeterminada incluyen la protección de datos en caso de robo de una computadora portátil, la protección contra ataques a dispositivos que se dejan desatendidos, el mantenimiento de la confidencialidad y la integridad sin necesidad de manipulaciones innecesarias.
Durante bastante tiempo, el Grupo de trabajo de estaciones de trabajo ha tenido solicitudes abiertas para mejorar el estado del cifrado en Fedora, y en particular llegar al punto en que puede hacer que el instalador cifre los sistemas de forma predeterminada. Para poder avanzar, he estado trabajando en un documento de requisitos y un borrador del plan.
En un resumen muy breve, el plan es: Usar el próximo soporte btrfs fscrypt para cifrar los directorios del sistema y de inicio. El sistema se cifrará de forma predeterminada con una clave de cifrado almacenada en el TPM y vinculada a las firmas utilizadas para firmar el gestor de arranque/kernel/initrd, proporcionando protección contra la manipulación, mientras que los directorios de inicio se cifrarán utilizando la contraseña de inicio de sesión del usuario.
De acuerdo con el borrador del plan preparado, planean usar Btrfs fscrypt para el cifrado. Para las particiones del sistema, las claves de cifrado se almacenarán en el módulo TPM y se usarán junto con las firmas digitales para verificar la integridad del cargador de arranque, el kernel e initrd (es decir, en la etapa de arranque del sistema, el usuario no necesitará para ingresar una contraseña para descifrar las particiones del sistema).
Al cifrar los directorios de inicio, se planifica que las claves se generen en función del inicio de sesión y la contraseña del usuario (el directorio de inicio cifrado se conectará cuando el usuario inicie sesión en el sistema).
El momento de la implementación de la iniciativa depende de la transición del kit de distribución a la imagen de kernel unificada UKI (Imagen de kernel unificada), que combina el controlador para cargar el kernel desde UEFI (stub de arranque UEFI), la imagen del kernel de Linux y el entorno del sistema initrd cargado en la memoria en un archivo.
Sin el soporte de UKI, es imposible garantizar la invariancia de los contenidos del entorno initrd, en el que se determinan las claves para descifrar el FS (por ejemplo, un atacante puede cambiar el initrd y simular una solicitud de contraseña, para evitar esto, verificado es necesario cargar toda la cadena antes de montar el FS).
En su forma actual, el instalador de Fedora tiene una opción para cifrar particiones a nivel de bloque con dm-crypt usando una frase de contraseña separada que no está vinculada a una cuenta de usuario.
Esta solicitud representa un gran cambio en el que pasamos de tener un arranque seguro como algo en lo que dedicamos mucho esfuerzo, pero en realidad no hace mucho, a algo de lo que dependemos en gran medida para proporcionar una capa adicional de seguridad al usuario.
Me interesaría escuchar, entre otras cosas: * ¿Hay requisitos que el documento no captura? * ¿Hay otras amenazas que deberíamos tratar de abordar? …
Esta solución señala problemas como la inadecuación para el cifrado separado en sistemas multiusuario, la falta de soporte para la internacionalización y herramientas para personas con discapacidades, la posibilidad de realizar ataques a través de la sustitución del cargador de arranque (un cargador de arranque instalado por un atacante puede pretender ser el cargador de arranque original y solicitar una contraseña de descifrado), la necesidad de admitir framebuffer en initrd para solicitar una contraseña.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.