Fedora 中的加密旨在作为用户的安全解决方案
前几天有消息爆出 Owen Taylor,GNOME Shell 的创建者 和 Pango 库,以及 Fedora 工作站开发工作组的成员, 提出了加密系统分区的计划 和用户的主目录 Fedora Workstation 默认情况下.
好处 默认切换到加密 包括数据保护 如果笔记本电脑被盗, 防止设备攻击 无人看管,保密 和诚信 无需进行不必要的操作。
很长一段时间以来,工作站工作组一直在公开请求改进 Fedora 中的加密状态,特别是要达到默认情况下可以让安装程序加密系统的程度。 为了向前推进,我一直在研究需求文档和计划草案。
简而言之,计划是:使用即将推出的 btrfs fscrypt 支持来加密系统和主目录。 默认情况下,系统将使用存储在 TPM 中的加密密钥进行加密,并链接到用于签署引导加载程序/内核/initrd 的签名,以防止篡改,而主目录将使用密码用户登录进行加密。
根据规划草案 准备好了, 他们计划使用 Btrfs fscrypt 进行加密。 对于系统分区, 加密密钥将存储在 TPM 模块中 并且它们将与数字签名一起用于验证bootloader、kernel和initrd的完整性(即在系统启动阶段,用户将不需要输入密码来解密系统分区)。
加密主目录时,会根据用户的登录名和密码计划生成密钥(用户登录系统时将连接加密的主目录)。
实施时间 主动性 取决于过渡 从分发包到统一内核镜像 英基 (Unified Kernel Image),结合了从UEFI加载内核的驱动程序(UEFI Boot Stub), Linux 内核映像和 initrd 系统环境 加载到内存中的一个文件中。
如果没有 UKI 支持,就无法保证 initrd 环境内容的不变性,其中解密 FS 的密钥是确定的(例如,攻击者可以更改 initrd 并模拟密码请求,为了避免这种情况,已验证有必要在安装 FS 之前加载整个链)。
在当前形式下,Fedora 安装程序可以选择使用 dm-crypt 使用与用户帐户无关的单独密码在块级别加密分区。
这个请求代表了一个巨大的转变,从我们付出很多努力但实际上做的并不多的安全启动,到我们严重依赖为用户提供额外安全层的东西。
除其他事项外,我很想听听: * 是否有文档未包含的任何要求? * 还有其他我们应该尝试解决的威胁吗? ……
此修复指出了诸如不适合在多用户系统上单独加密、缺乏对国际化和残疾人工具的支持、通过引导加载程序替换进行攻击的可能性(攻击者安装的引导加载程序可以伪装成原始引导加载程序)等问题并请求解密密码),需要在initrd中支持framebuffer来请求密码。
最后 如果您有兴趣了解更多有关它的信息,您可以查看详细信息 在下面的链接中。