Tres ingenieros de Red Hat presentaron un Propuestas de cambio para Fedora Linux 41. Si se aprueba, este cambio agregará la opción opcional Admite cifrado de hardware nativo en unidades compatibles con TCG OPAL2 En el instalador de Anaconda para Fedora. Esta nueva propuesta Compatibilidad con unidades de autocifrado será FedoraLinux 41y sólo afecta a instalaciones nuevas.
propuesta
Wojtek Trevny, Ondrej Kožinay Jiri Konecny Red Hat propone mejoras a las opciones de cifrado de disco de Fedora. Sus recomendaciones están diseñadas para aprovechar las capacidades de los discos de autocifrado (SED) durante el proceso de instalación.
Para dejar esto más claro, su propuesta tiene como objetivo introducir soporte opcional para el uso de cifrado de hardware nativo en unidades compatibles con TCG OPAL2 al configurar el cifrado de disco en el instalador Anaconda de Fedora.
Esta característica brindará a los usuarios seguridad y flexibilidad adicionales al configurar el cifrado de disco.
¿Qué son las unidades de autocifrado y OPAL2?
unidad de autocifrado (SED) realiza operaciones de cifrado y descifrado dentro de su hardware. este Estándar TCG OPAL2desarrollado por Grupo de informática de confianzaque define un conjunto específico de características de seguridad del dispositivo de almacenamiento, incluido el autocifrado.
Los cambios propuestos son específicos de las unidades que cumplen con este estándar OPAL2. Cabe señalar que, aunque todas las unidades de disco que cumplen con el estándar OPAL2 son autocifradas, no todas las unidades de disco autocifradas deben cumplir con el estándar OPAL2.
Opciones de instalación recomendadas
Si se aprueba, el cambio agregará dos nuevas opciones al configurar el almacenamiento cifrado en el instalador Anaconda de Fedora:
- Sólo cifrado de hardware
- Cifrado combinado de hardware y software
Estas opciones brindarán mayor flexibilidad a los usuarios con hardware compatible.
¿Que ha cambiado?
Los cambios propuestos ampliarían la existente --luks-version en opciones puesta en marcha interfaz para habilitar el cifrado de hardware. Estarán disponibles dos nuevas opciones:
--luks-version=luks2-hw-opal: Habilitar solo el cifrado de hardware--luks-version=luks2-hw-opal-crypt: habilite la combinación de cifrado de hardware y cifrado de software
Tenga en cuenta que esta característica Sólo disponible a través de la interfaz kickstart Y no está habilitado de forma predeterminada. El usuario debe seleccionar explícitamente esta opción para utilizar el cifrado de hardware.
Implementación propuesta
Para probar esta función, los usuarios deben:
- Soporta discos estándar OPAL
- este
sedutil-cliUtilidad para comprobar el cumplimiento de OPAL
Verifique el soporte de OPAL usando el siguiente comando sedutil-cli Utilidades (fabricadas por sedutil paquete) con el comando:
sudo sedutil-cli --scan
Como se mencionó anteriormente, las nuevas opciones de cifrado están disponibles a través de Interfaz de inicio. Los usuarios pueden especificar sus preferencias usando --luks-version opciones en su perfil kickstart.
El siguiente es un fragmento de inicio de ejemplo de una partición automática cifrada:
autopart --type=lvm --encrypted --passphrase="passphrase" --luks-version=luks2-hw-opal --opal-admin-passphrase="..."
confirmar
Después de la instalación, los usuarios pueden verificar la configuración de cifrado usando el siguiente comando cryptsetup luksDump Orden.
sudo cryptsetup luksDump
reemplazar /dev/sda2)
examinar Data segments sección de salida. El contenido indicará qué método de cifrado se utiliza.
Para el cifrado combinado de hardware y software, verá:
LUKS header information
Version: 2
...
Data segments:
0: hw-opal-crypt
Se aplica únicamente al cifrado de hardware:
LUKS header information
Version: 2
...
Data segments:
0: hw-opal
Se aplica únicamente al cifrado de software (comportamiento predeterminado):
LUKS header information
Version: 2
...
Data segments:
0: crypt
Beneficios y consideraciones potenciales
Posibles ventajas
- Mejoras de rendimiento para sistemas de bajo consumo
- Mayor seguridad mediante cifrado por capas (cuando se utiliza tanto hardware como software)
Notas importantes
- Esta característica es opcional y no está habilitada de forma predeterminada.
- Necesidad de hacer selecciones claras durante la instalación.
- El uso de cifrado de hardware puro depende de la implementación del fabricante de la unidad.
Compatibilidad y actualizaciones
Este cambio propuesto sólo afectará a las nuevas instalaciones. Los sistemas existentes no se verán afectados por esta característica.
Experiencia de usuario
Después de la instalación, los usuarios no deberían notar ninguna diferencia ya que el sistema se comporta igual que el cifrado de disco «normal».
Próximo paso
El Comité Directivo de Ingeniería de Fedora revisará la propuesta. Si se aprueba, podría traer más opciones de cifrado a Fedora Linux 41, mejorando potencialmente la seguridad y el rendimiento para los usuarios con hardware compatible.
Para obtener más información o proporcionar comentarios sobre esta propuesta, visite los foros de Fedora:
