ใน Fedora พวกเขาวางแผนที่จะใช้การเข้ารหัสระบบไฟล์เริ่มต้น

Fedora

การเข้ารหัสใน Fedora มีวัตถุประสงค์เพื่อเป็นโซลูชั่นรักษาความปลอดภัยสำหรับผู้ใช้

เมื่อไม่กี่วันก่อนมีข่าวออกมาว่า Owen Taylor ผู้สร้าง GNOME Shell และห้องสมุด Pango และเป็นสมาชิกของ Fedora Workstation Development Working Group นำเสนอแผนการเข้ารหัสพาร์ติชันระบบ และโฮมไดเร็กทอรีของผู้ใช้ โดยค่าเริ่มต้นใน Fedora Workstation.

ประโยชน์ เพื่อเปลี่ยนเป็นการเข้ารหัสตามค่าเริ่มต้น รวมถึงการปกป้องข้อมูล ในกรณีที่ถูกขโมยแล็ปท็อป ป้องกันการโจมตีอุปกรณ์ ทิ้งไว้โดยไม่มีใครดูแล รักษาความลับ และความซื่อสัตย์ โดยไม่จำเป็นต้องปรับแต่งที่ไม่จำเป็น

เป็นเวลานานแล้วที่ Workstations Working Group ได้เปิดคำขอเพื่อปรับปรุงสถานะของการเข้ารหัสใน Fedora และโดยเฉพาะอย่างยิ่งเพื่อไปยังจุดที่คุณสามารถติดตั้งระบบเข้ารหัสโดยค่าเริ่มต้น เพื่อก้าวไปข้างหน้า ฉันได้ทำงานกับเอกสารข้อกำหนดและร่างแผน

สรุปโดยย่อ แผนคือ: ใช้การสนับสนุน btrfs fscrypt ที่กำลังจะมีขึ้นเพื่อเข้ารหัสระบบและโฮมไดเร็กทอรี ระบบจะถูกเข้ารหัสโดยค่าเริ่มต้นด้วยคีย์การเข้ารหัสที่จัดเก็บไว้ใน TPM และเชื่อมโยงกับลายเซ็นที่ใช้เพื่อลงชื่อ bootloader/kernel/initrd เพื่อป้องกันการปลอมแปลง ขณะที่โฮมไดเร็กทอรีจะถูกเข้ารหัสโดยใช้รหัสผ่านในการเข้าสู่ระบบของผู้ใช้

ตามร่างแผน เตรียมไว้, พวกเขาวางแผนที่จะใช้ Btrfs fscrypt สำหรับการเข้ารหัส สำหรับพาร์ติชันระบบ คีย์การเข้ารหัสจะถูกจัดเก็บไว้ในโมดูล TPM และจะใช้ร่วมกับลายเซ็นดิจิทัลเพื่อตรวจสอบความสมบูรณ์ของ bootloader, kernel และ initrd (นั่นคือ ในขั้นตอนการบูตระบบ ผู้ใช้จะไม่ต้องป้อนรหัสผ่านเพื่อถอดรหัสพาร์ติชันระบบ)

เมื่อเข้ารหัสโฮมไดเร็กทอรี ระบบจะกำหนดเวลาสร้างคีย์ตามการเข้าสู่ระบบและรหัสผ่านของผู้ใช้ (โฮมไดเร็กทอรีที่เข้ารหัสจะเชื่อมต่อเมื่อผู้ใช้เข้าสู่ระบบ)

ระยะเวลาในการดำเนินการ ของการริเริ่ม ขึ้นอยู่กับการเปลี่ยนแปลง จากชุดการแจกจ่ายไปจนถึงอิมเมจเคอร์เนลแบบรวม ยูเคไอ (Unified Kernel Image) ซึ่งรวมไดรเวอร์สำหรับการโหลดเคอร์เนลจาก UEFI (UEFI Boot Stub) อิมเมจเคอร์เนล Linux และสภาพแวดล้อมของระบบเริ่มต้น โหลดลงในหน่วยความจำในไฟล์

หากไม่มีการสนับสนุน UKI เป็นไปไม่ได้ที่จะรับประกันความไม่แปรเปลี่ยนของเนื้อหาของสภาพแวดล้อมเริ่มต้นซึ่งกำหนดคีย์ในการถอดรหัส FS (ตัวอย่างเช่น ผู้โจมตีสามารถเปลี่ยนค่าเริ่มต้นและจำลองคำขอรหัสผ่าน เพื่อหลีกเลี่ยงสิ่งนี้ ตรวจสอบแล้ว จำเป็นต้องโหลดโซ่ทั้งหมดก่อนที่จะติดตั้ง FS)

ในรูปแบบปัจจุบัน ตัวติดตั้ง Fedora มีตัวเลือกในการเข้ารหัสพาร์ติชันที่ระดับบล็อกด้วย dm-crypt โดยใช้ข้อความรหัสผ่านแยกต่างหากที่ไม่ได้เชื่อมโยงกับบัญชีผู้ใช้

คำขอนี้แสดงถึงการเปลี่ยนแปลงครั้งใหญ่จากการมี Secure Boot ซึ่งเป็นสิ่งที่เราพยายามอย่างมากแต่แทบไม่ได้ทำอะไรมากนัก ไปสู่สิ่งที่เราพึ่งพาอย่างมากในการมอบความปลอดภัยเพิ่มเติมอีกชั้นหนึ่งให้กับผู้ใช้

ฉันสนใจที่จะรับฟัง เหนือสิ่งอื่นใด: * มีข้อกำหนดใด ๆ ที่เอกสารไม่ได้รวบรวมไว้หรือไม่? * มีภัยคุกคามอื่น ๆ ที่เราควรพยายามแก้ไขหรือไม่? …

การแก้ไขนี้ชี้ให้เห็นถึงปัญหาต่างๆ เช่น ความไม่เหมาะสมสำหรับการเข้ารหัสแยกต่างหากบนระบบที่มีผู้ใช้หลายคน การขาดการสนับสนุนสำหรับการทำให้เป็นสากลและเครื่องมือสำหรับผู้พิการ ความเป็นไปได้ของการโจมตีผ่านการทดแทน bootloader (bootloader ที่ติดตั้งโดยผู้โจมตีอาจแสร้งทำเป็น bootloader ดั้งเดิม และขอรหัสผ่านถอดรหัส) ต้องรองรับ framebuffer ใน initrd เพื่อขอรหัสผ่าน

ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมคุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.


เป็นคนแรกที่จะแสดงความคิดเห็น

แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. รับผิดชอบข้อมูล: AB Internet Networks 2008 SL
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา