В Fedora рассматривают возможность применения шифрования ФС по умолчанию
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Оуэн Тейлор (Owen Taylor), создатель GNOME Shell и библиотеки Pango, входящий в рабочую группу по развитию Fedora для рабочих станций, выставил на обсуждение план шифрования по умолчанию системных разделов и домашних каталогов пользователей в Fedora Workstation. Из плюсов перехода к шифрованию по умолчанию называется защита данных в случае кражи ноутбука, защита от атак на оставленные без присмотра устройства, поддержание конфиденциальности и целостности из коробки без необходимости совершения лишних манипуляций.
В соответствии с подготовленным черновым планом для шифрования планируют использовать Btrfs fscrypt. Для системных разделов ключи шифрования планируют хранить в TPM-модуле и использовать в привязке к цифровым подписям, применяемым для проверки целостности загрузчика, ядра и initrd (т.е. на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов). При шифровании домашних каталогов ключи планируют генерировать на основе логина и пароля пользователя (подключение зашифрованного домашнего каталога будет производиться во время входа пользователя в систему).
Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющий в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется определение ключей для расшифровки ФС (например, атакующий может подменить initrd и симулировать запрос пароля, чтобы этого избежать требуется верифицированная загрузка всей цепочки до монтирования ФС).
В текущем виде в инсталляторе Fedora имеется опция для шифрования разделов на блочном уровне при помощи dm-crypt, используя отдельную парольную фразу, не привязанную к учётной записи пользователя. В данном решении отмечаются такие проблемы, как непригодность для раздельного шифрования в многопользовательских системах, отсутствие поддержки интернационализации и средств для людей с ограниченными возможностями, возможность совершения атак через подмену загрузчика (установленный атакующим загрузчик может притвориться оригинальным загрузчиком и запросить пароль расшифровки), необходимость поддержки framebuffer в initrd для вывода запроса пароля.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lists.fedoraproject.or...)
- OpenNews: Утверждён переход Fedora Desktop на Btrfs и замена редактора vi на nano
- OpenNews: Выпуск системного менеджера systemd 252 с поддержкой UKI (Unified Kernel Image)
- OpenNews: Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
- OpenNews: В Fedora 38 планируют реализовать поддержку универсальных образов ядра
- OpenNews: Дистрибутив Fedora Linux 38 перешёл на стадию бета-тестирования
Похожие новости:
- IETF стандартизирует протокол сквозного шифрования MLS
- Let's Encrypt внедрил расширение для координации обновления сертификатов
- Выпуск криптографической библиотеки OpenSSL 3.1.0
- Дистрибутив Fedora Linux 38 перешёл на стадию бета-тестирования
- Fedora 38 предложит неограниченную поддержку Flathub
- В Fedora 38 планируют реализовать поддержку универсальных образов ядра
- В ядро Linux 6.2 войдут улучшения RAID5/6 в Btrfs
- NIST выводит алгоритм хэширования SHA-1 из своих спецификаций
- Компания Tesla развивает криптографическую библиотеку liblithium
- В Fedora Linux 38 начнут формироваться сборки на базе пользовательской оболочки Phosh
Теги для поиска: #_fedora, #_btrfs, #_crypt
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 17:28
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Оуэн Тейлор (Owen Taylor), создатель GNOME Shell и библиотеки Pango, входящий в рабочую группу по развитию Fedora для рабочих станций, выставил на обсуждение план шифрования по умолчанию системных разделов и домашних каталогов пользователей в Fedora Workstation. Из плюсов перехода к шифрованию по умолчанию называется защита данных в случае кражи ноутбука, защита от атак на оставленные без присмотра устройства, поддержание конфиденциальности и целостности из коробки без необходимости совершения лишних манипуляций. В соответствии с подготовленным черновым планом для шифрования планируют использовать Btrfs fscrypt. Для системных разделов ключи шифрования планируют хранить в TPM-модуле и использовать в привязке к цифровым подписям, применяемым для проверки целостности загрузчика, ядра и initrd (т.е. на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов). При шифровании домашних каталогов ключи планируют генерировать на основе логина и пароля пользователя (подключение зашифрованного домашнего каталога будет производиться во время входа пользователя в систему). Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющий в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется определение ключей для расшифровки ФС (например, атакующий может подменить initrd и симулировать запрос пароля, чтобы этого избежать требуется верифицированная загрузка всей цепочки до монтирования ФС). В текущем виде в инсталляторе Fedora имеется опция для шифрования разделов на блочном уровне при помощи dm-crypt, используя отдельную парольную фразу, не привязанную к учётной записи пользователя. В данном решении отмечаются такие проблемы, как непригодность для раздельного шифрования в многопользовательских системах, отсутствие поддержки интернационализации и средств для людей с ограниченными возможностями, возможность совершения атак через подмену загрузчика (установленный атакующим загрузчик может притвориться оригинальным загрузчиком и запросить пароль расшифровки), необходимость поддержки framebuffer в initrd для вывода запроса пароля. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 17:28
Часовой пояс: UTC + 5