Fedora માં એનક્રિપ્શનનો હેતુ વપરાશકર્તા માટે સુરક્ષા ઉકેલ તરીકે છે
થોડા દિવસો પહેલા આ સમાચાર સામે આવ્યા હતા ઓવેન ટેલર, જીનોમ શેલના સર્જક અને પેંગો લાઇબ્રેરી, અને Fedora વર્કસ્ટેશન ડેવલપમેન્ટ વર્કિંગ ગ્રુપના સભ્ય, સિસ્ટમ પાર્ટીશનોને એનક્રિપ્ટ કરવાની યોજના રજૂ કરી અને વપરાશકર્તાઓની હોમ ડિરેક્ટરીઓ Fedora વર્કસ્ટેશનમાં મૂળભૂત રીતે.
લાભો મૂળભૂત રીતે એન્ક્રિપ્શન પર સ્વિચ કરવા માટે માહિતી સુરક્ષા સમાવેશ થાય છે લેપટોપની ચોરીના કિસ્સામાં, ઉપકરણ હુમલા સામે રક્ષણ ગોપનીયતા જાળવીને અડ્યા વિના છોડી દીધું અને અખંડિતતા બિનજરૂરી મેનીપ્યુલેશન્સની જરૂરિયાત વિના.
ઘણા સમયથી, વર્કસ્ટેશન વર્કિંગ ગ્રૂપ પાસે Fedora માં એનક્રિપ્શનની સ્થિતિ સુધારવા માટે ખુલ્લી વિનંતીઓ છે, અને ખાસ કરીને તે બિંદુ સુધી પહોંચવા માટે જ્યાં તમે મૂળભૂત રીતે ઇન્સ્ટોલર એનક્રિપ્ટ સિસ્ટમો ધરાવી શકો છો. આગળ વધવા માટે, હું જરૂરી દસ્તાવેજો અને ડ્રાફ્ટ પ્લાન પર કામ કરી રહ્યો છું.
ખૂબ જ સંક્ષિપ્ત સારાંશમાં, યોજના છે: સિસ્ટમ અને હોમ ડિરેક્ટરીઓને એનક્રિપ્ટ કરવા માટે આગામી btrfs fscrypt સપોર્ટનો ઉપયોગ કરો. સિસ્ટમ TPM માં સંગ્રહિત એન્ક્રિપ્શન કી સાથે ડિફોલ્ટ રૂપે એન્ક્રિપ્ટ કરવામાં આવશે અને બુટલોડર/kernel/initrd પર સહી કરવા માટે વપરાતા હસ્તાક્ષરો સાથે લિંક કરવામાં આવશે, ચેડા સામે રક્ષણ પૂરું પાડે છે, જ્યારે હોમ ડિરેક્ટરીઓ પાસવર્ડ વપરાશકર્તા લોગિનનો ઉપયોગ કરીને એનક્રિપ્ટ કરવામાં આવશે.
ડ્રાફ્ટ પ્લાન મુજબ તૈયાર તેઓ એનક્રિપ્શન માટે Btrfs fscrypt વાપરવાની યોજના ધરાવે છે. સિસ્ટમ પાર્ટીશનો માટે, એન્ક્રિપ્શન કીઓ TPM મોડ્યુલમાં સંગ્રહિત થશે અને તેઓ બુટલોડર, કર્નલ અને initrd ની અખંડિતતાને ચકાસવા માટે ડિજિટલ હસ્તાક્ષરો સાથે એકસાથે ઉપયોગમાં લેવાશે (એટલે કે, સિસ્ટમ બુટ તબક્કે, વપરાશકર્તાને સિસ્ટમ પાર્ટીશનો ડિક્રિપ્ટ કરવા માટે પાસવર્ડ દાખલ કરવાની જરૂર રહેશે નહીં).
હોમ ડિરેક્ટરીઓ એનક્રિપ્ટ કરતી વખતે, વપરાશકર્તાના લૉગિન અને પાસવર્ડના આધારે ચાવીઓ જનરેટ કરવા માટે સુનિશ્ચિત કરવામાં આવે છે (જ્યારે વપરાશકર્તા સિસ્ટમમાં લૉગ ઇન કરશે ત્યારે એન્ક્રિપ્ટેડ હોમ ડિરેક્ટરી કનેક્ટ થશે).
અમલીકરણનો સમય પહેલની સંક્રમણ પર આધાર રાખે છે વિતરણ કીટથી યુનિફાઇડ કર્નલ ઇમેજ સુધી યુકેઆઈ (યુનિફાઇડ કર્નલ ઇમેજ), જે UEFI (UEFI બૂટ સ્ટબ) માંથી કર્નલ લોડ કરવા માટે ડ્રાઇવરને જોડે છે, Linux કર્નલ ઈમેજ અને initrd સિસ્ટમ પર્યાવરણ ફાઈલમાં મેમરીમાં લોડ થાય છે.
UKI સપોર્ટ વિના, initrd પર્યાવરણના સમાવિષ્ટોના અવ્યવસ્થાની બાંયધરી આપવી અશક્ય છે, જેમાં FS ને ડિક્રિપ્ટ કરવાની કીઓ નક્કી કરવામાં આવે છે (ઉદાહરણ તરીકે, હુમલાખોર initrd ને બદલી શકે છે અને પાસવર્ડ વિનંતીનું અનુકરણ કરી શકે છે, આને ટાળવા માટે, ચકાસાયેલ FS માઉન્ટ કરતા પહેલા આખી સાંકળ લોડ કરવી જરૂરી છે).
તેના વર્તમાન સ્વરૂપમાં, Fedora સ્થાપક પાસે અલગ પાસફ્રેઝની મદદથી dm-crypt સાથે બ્લોક સ્તરે પાર્ટીશનોને એનક્રિપ્ટ કરવાનો વિકલ્પ છે કે જે વપરાશકર્તા ખાતા સાથે જોડાયેલ નથી.
આ વિનંતી એવી વસ્તુ તરીકે સિક્યોર બૂટ રાખવાથી એક મોટી પાળીનું પ્રતિનિધિત્વ કરે છે જેમાં અમે ઘણા પ્રયત્નો કરીએ છીએ, પરંતુ ખરેખર ઘણું કરતા નથી, જેના પર અમે વપરાશકર્તા માટે સુરક્ષાનું વધારાનું સ્તર પ્રદાન કરવા માટે ખૂબ આધાર રાખીએ છીએ.
મને અન્ય બાબતોની સાથે સાંભળવામાં રસ હશે: * શું એવી કોઈ આવશ્યકતાઓ છે કે જે દસ્તાવેજ કેપ્ચર ન કરે? * શું અન્ય ધમકીઓ છે જેને આપણે સંબોધવાનો પ્રયાસ કરવો જોઈએ? …
આ ફિક્સ મલ્ટિ-યુઝર સિસ્ટમ્સ પર અલગ એન્ક્રિપ્શન માટે અયોગ્યતા, વિકલાંગ લોકો માટે આંતરરાષ્ટ્રીયકરણ અને સાધનો માટે સમર્થનનો અભાવ, બુટલોડર અવેજી દ્વારા હુમલાની શક્યતા (હુમલાખોર દ્વારા ઇન્સ્ટોલ કરેલું બુટલોડર મૂળ બુટલોડર હોવાનો ઢોંગ કરી શકે છે) જેવા મુદ્દાઓને નિર્દેશ કરે છે. અને ડિક્રિપ્શન પાસવર્ડની વિનંતી કરો), પાસવર્ડની વિનંતી કરવા માટે initrd માં ફ્રેમબફરને સપોર્ટ કરવાની જરૂર છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં