Несколько дней назад появилась новость о том, что Оуэн Тейлор, создатель GNOME Shell и библиотеку Pango, а также член рабочей группы Fedora Workstation Development, представил план шифрования системных разделов и домашние каталоги пользователей по умолчанию в Fedora Workstation.
льготы переключиться на шифрование по умолчанию включить защиту данных в случае кражи ноутбука, защита от атак на устройства оставлен без присмотра, сохраняя конфиденциальность и целостность без необходимости лишних манипуляций.
В течение достаточно долгого времени рабочая группа по рабочим станциям получала открытые запросы на улучшение состояния шифрования в Fedora и, в частности, на то, чтобы установщик мог шифровать системы по умолчанию. Чтобы двигаться вперед, я работал над документом с требованиями и проектом плана.
В очень кратком изложении план таков: использовать будущую поддержку btrfs fscrypt для шифрования системных и домашних каталогов. Система будет зашифрована по умолчанию с помощью ключа шифрования, хранящегося в TPM и связанного с подписями, используемыми для подписи загрузчика/ядра/initrd, обеспечивая защиту от несанкционированного доступа, в то время как домашние каталоги будут зашифрованы с использованием пароля для входа пользователя.
По эскизному плану готовый, они планируют использовать Btrfs fscrypt для шифрования. Для системных разделов ключи шифрования будут храниться в модуле TPM и они будут использоваться вместе с цифровыми подписями для проверки целостности загрузчика, ядра и initrd (то есть на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов).
При шифровании домашних каталогов планируется генерация ключей на основе логина и пароля пользователя (зашифрованный домашний каталог будет подключен при входе пользователя в систему).
Сроки реализации инициативы зависит от перехода из дистрибутива в единый образ ядра УКИ (Unified Kernel Image), объединяющий драйвер для загрузки ядра из UEFI (UEFI Boot Stub), образ ядра Linux и системная среда initrd загружается в память в файл.
Без поддержки UKI невозможно гарантировать неизменность содержимого среды initrd, в которой определяются ключи для расшифровки ФС (например, злоумышленник может изменить initrd и имитировать запрос пароля, во избежание этого проверено необходимо загрузить всю цепочку перед монтажом ФС).
В своей текущей форме установщик Fedora имеет возможность шифровать разделы на уровне блоков с помощью dm-crypt с использованием отдельной парольной фразы, не привязанной к учетной записи пользователя.
Этот запрос представляет собой большой переход от использования безопасной загрузки как того, во что мы вложили много усилий, но на самом деле мало что делаем, к чему-то, на что мы сильно полагаемся, чтобы обеспечить дополнительный уровень безопасности для пользователя.
Мне было бы интересно услышать, среди прочего: * Существуют ли какие-либо требования, которые не отражены в документе? * Существуют ли другие угрозы, с которыми мы должны бороться? …
Это исправление указывает на такие проблемы, как непригодность для раздельного шифрования в многопользовательских системах, отсутствие поддержки интернационализации и инструментов для людей с ограниченными возможностями, возможность атак через подмену загрузчика (установленный злоумышленником загрузчик может выдавать себя за исходный загрузчик и запросить пароль для расшифровки), необходимость поддержки фреймбуфера в initrd для запроса пароля.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.