Fedora'da şifreleme, kullanıcı için bir güvenlik çözümü olarak tasarlanmıştır
Birkaç gün önce şu haber çıktı GNOME Shell'in yaratıcısı Owen Taylor ve Pango kitaplığı ve Fedora İş İstasyonu Geliştirme Çalışma Grubu'nun bir üyesi, sistem bölümlerini şifrelemek için bir plan sundu ve kullanıcıların ev dizinleri Fedora Workstation'da varsayılan olarak.
Faydaları varsayılan olarak şifrelemeye geçmek için veri koruma dahil bir dizüstü bilgisayarın çalınması durumunda, cihaz saldırılarına karşı koruma gözetimsiz bırakıldı, gizliliği koruyarak ve bütünlük Gereksiz manipülasyonlara gerek kalmadan.
Bir süredir, İş İstasyonları Çalışma Grubu, Fedora'daki şifreleme durumunu iyileştirmek ve özellikle yükleyicinin sistemleri varsayılan olarak şifrelemesini sağlayabileceğiniz noktaya gelmek için açık talepler aldı. İlerlemek için bir ihtiyaç belgesi ve bir taslak plan üzerinde çalışıyorum.
Çok kısa bir özetle, plan şudur: Sistem ve ev dizinlerini şifrelemek için yakında çıkacak olan btrfs fscrypt desteğini kullanın. Sistem varsayılan olarak TPM'de saklanan bir şifreleme anahtarıyla şifrelenecek ve önyükleyici/çekirdek/initrd'yi imzalamak için kullanılan imzalara bağlanarak kurcalamaya karşı koruma sağlarken ana dizinler kullanıcı oturum açma parolası kullanılarak şifrelenecektir.
Taslak plana göre tedarikli, şifreleme için Btrfs fscrypt kullanmayı planlıyorlar. Sistem bölümleri için, şifreleme anahtarları TPM modülünde saklanacaktır ve önyükleyici, çekirdek ve initrd'nin bütünlüğünü doğrulamak için dijital imzalarla birlikte kullanılacaktır (yani, sistem önyükleme aşamasında, kullanıcının sistem bölümlerinin şifresini çözmek için bir parola girmesi gerekmeyecektir).
Ana dizinleri şifrelerken, anahtarlar kullanıcının oturum açma bilgilerine ve parolasına göre oluşturulacak şekilde programlanır (şifreli ana dizin, kullanıcı sistemde oturum açtığında bağlanacaktır).
Uygulama zamanlaması girişimin geçişe bağlıdır dağıtım kitinden birleşik çekirdek görüntüsüne Birleşik Krallık Çekirdeği UEFI'den (UEFI Boot Stub) yüklemek için sürücüyü birleştiren (Unified Kernel Image), Linux çekirdek görüntüsü ve initrd sistem ortamı bir dosyada belleğe yüklenir.
UKI desteği olmadan, FS'nin şifresini çözmek için anahtarların belirlendiği initrd ortamının içeriğinin değişmezliğini garanti etmek imkansızdır (örneğin, bir saldırgan initrd'yi değiştirebilir ve bunu önlemek için bir parola isteği simüle edebilir, doğrulanmıştır) FS'yi takmadan önce tüm zinciri yüklemek gerekir).
Mevcut haliyle, Fedora yükleyici, bir kullanıcı hesabına bağlı olmayan ayrı bir parola kullanarak bölümleri blok düzeyinde dm-crypt ile şifreleme seçeneğine sahiptir.
Bu istek, Güvenli Önyüklemeye sahip olmaktan çok çaba sarf ettiğimiz, ancak gerçekten fazla bir şey yapmadığımız bir şeyden, kullanıcı için ekstra bir güvenlik katmanı sağlamak için büyük ölçüde güvendiğimiz bir şeye büyük bir geçişi temsil ediyor.
Diğer şeylerin yanı sıra şunları duymak isterim: * Belgenin karşılamadığı herhangi bir gereksinim var mı? * Ele almaya çalışmamız gereken başka tehditler var mı? …
Bu düzeltme, çok kullanıcılı sistemlerde ayrı şifreleme için uygun olmama, uluslararasılaştırma ve engelli kişiler için araçlar için destek eksikliği, önyükleyici değiştirme yoluyla saldırı olasılığı (saldırgan tarafından yüklenen bir önyükleyici, orijinal önyükleyici gibi görünebilir) gibi sorunlara işaret eder. ve bir şifre çözme parolası isteme), bir parola istemek için initrd'de framebuffer'ı destekleme ihtiyacı.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda.