Šifravimas „Fedora“ yra skirtas kaip saugumo sprendimas vartotojui
Prieš kelias dienas tai pasklido žinia Owen Taylor, GNOME Shell kūrėjas ir Pango biblioteka bei Fedora darbo stoties kūrimo darbo grupės narys, pristatė sistemos skaidinių šifravimo planą ir vartotojų namų katalogus pagal numatytuosius nustatymus „Fedora Workstation“..
Nauda kad perjungtumėte į šifravimą pagal numatytuosius nustatymus apima duomenų apsaugą nešiojamojo kompiuterio vagystės atveju, apsauga nuo įrenginio atakų paliktas be priežiūros, išlaikant konfidencialumą ir vientisumą be nereikalingų manipuliacijų.
Jau kurį laiką Darbo stočių darbo grupė turėjo atvirų užklausų pagerinti Fedora šifravimo būseną ir ypač pasiekti tašką, kai pagal numatytuosius nustatymus montuotojas gali užšifruoti sistemas. Siekdamas judėti į priekį, rengiau reikalavimų dokumentą ir plano projektą.
Labai trumpai apibendrinant, planas yra toks: Naudoti būsimą btrfs fscrypt palaikymą sistemos ir namų katalogams užšifruoti. Sistema pagal numatytuosius nustatymus bus užšifruota naudojant šifravimo raktą, saugomą TPM ir susietą su parašais, naudojamais pasirašyti įkrovos įkroviklį / branduolį / initrd, užtikrinant apsaugą nuo klastojimo, o namų katalogai bus užšifruoti naudojant vartotojo prisijungimo slaptažodį.
Pagal plano projektą paruoštas, jie planuoja naudoti Btrfs fscrypt šifravimui. Sistemos skaidiniams, šifravimo raktai bus saugomi TPM modulyje ir jie bus naudojami kartu su skaitmeniniais parašais įkrovos įkroviklio, branduolio ir initrd vientisumui patikrinti (ty sistemos įkrovos etape vartotojui nereikės įvesti slaptažodžio sistemos skaidiniams iššifruoti).
Šifruojant namų katalogus, pagal vartotojo prisijungimą ir slaptažodį planuojama generuoti raktus (užšifruotas namų katalogas bus prijungtas vartotojui prisijungus prie sistemos).
Įgyvendinimo laikas iniciatyvos priklauso nuo perėjimo nuo platinimo rinkinio iki vieningo branduolio vaizdo UKI (Unified Kernel Image), kuris sujungia tvarkyklę branduoliui įkelti iš UEFI (UEFI Boot Stub), Linux branduolio vaizdas ir initrd sistemos aplinka įkeliama į atmintį faile.
Be UKI palaikymo neįmanoma garantuoti initrd aplinkos, kurioje nustatomi FS iššifravimo raktai, turinio nekintamumo (pavyzdžiui, užpuolikas gali pakeisti initrd ir imituoti slaptažodžio užklausą, kad to išvengtų, patikrinta prieš montuojant FS būtina apkrauti visą grandinę).
Dabartinėje formoje „Fedora“ diegimo programa turi galimybę užšifruoti skaidinius bloko lygiu naudojant „dm-crypt“, naudojant atskirą slaptafrazę, nesusietą su vartotojo paskyra.
Ši užklausa reiškia didelį pokytį nuo saugaus įkrovimo kaip dalyko, į kurį dedame daug pastangų, bet iš tikrųjų neduodame daug, prie to, kuo labai pasitikime, kad suteiktume papildomą vartotojo saugumo lygį.
Man būtų įdomu, be kita ko, išgirsti: * Ar yra kokių nors reikalavimų, kurių dokumentas neatitinka? * Ar yra kitų grėsmių, kurias turėtume pabandyti pašalinti? …
Šis pataisymas atkreipia dėmesį į tokias problemas kaip netinkamumas atskiram šifravimui kelių vartotojų sistemose, internacionalizavimo ir neįgaliesiems skirtų įrankių trūkumas, atakų galimybė pakeičiant įkrovos įkroviklį (užpuoliko įdiegtas įkrovos įkroviklis gali apsimesti originaliu įkrovos įkrovikliu ir paprašyti iššifravimo slaptažodžio), poreikis palaikyti kadrų buferį initrd, kad būtų reikalaujama slaptažodžio.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.