В соответствии с подготовленным черновым планом для шифрования планируют использовать Btrfs fscrypt. Для системных разделов ключи ключи шифрования планируют хранить в TPM-модуле и использовать в привязке к цифровым подписям, применяемым для проверки целостности загрузчика, ядра и initrd. При шифровании домашних каталогов ключи планируют генерировать на основе логина и пароля пользователя.
Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющего в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется извлечение ключей для расшифровки ФС (например, атакующий может подменить initrd и симулировать запрос пароля, чтобы этого избежать требуется верифицированная загрузка всей цепочки до монтирования ФС).
В текущем виде в инсталляторе Fedora имеется опция для шифрования разделов на блочном уровне при помощи dm-crypt, используя отдельную парольную фразу, не привязанную к учётной записи пользователя. В данном решении отмечаются такие проблемы, как непригодность для раздельного шифрования в многопользовательских системах, отсутствие поддержки интернационализации и средств для людей с ограниченными возможностями, возможность совершения атак через подмену загрузчика (установленный атакующим загрузчик может притвориться оригинальным загрузчиком и запросить пароль расшифровки), необходимость поддержки framebuffer в initrd для вывода запроса ввода пароля.
Источник: http://www.opennet.ru/opennews/art.shtml?num=58916