Lennart Poettering het 'n voorstel gepubliseer om die selflaaiproses van Linux-verspreidings te moderniseer, wat daarop gemik is om bestaande probleme op te los en die organisasie van 'n volwaardige geverifieerde selflaai te vereenvoudig, wat die egtheid van die kern en die onderliggende stelselomgewing bevestig. Die veranderinge wat nodig is om die nuwe argitektuur te implementeer, is reeds ingesluit in die systemd-kodebasis en beïnvloed komponente soos systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase en systemd-creds.
Die voorgestelde veranderinge word verminder tot die skepping van 'n enkele universele UKI (Unified Kernel Image) beeld wat die Linux kern beeld kombineer, die hanteerder vir die laai van die kern vanaf UEFI (UEFI boot stub) en die initrd stelsel omgewing wat in die geheue gelaai is, wat gebruik word vir aanvanklike inisialisering op die stadium voordat die wortel FS gemonteer word. In plaas van 'n initrd RAM-skyfbeeld, kan die hele stelsel in die UKI verpak word, wat die skepping van volledig geverifieerde stelselomgewings moontlik maak wat in RAM gelaai word. UKI-image word gemaak in die vorm van 'n uitvoerbare lêer in PE-formaat, wat nie net met tradisionele selflaailaaiers gelaai kan word nie, maar direk vanaf die UEFI-firmware geroep word.
Die vermoë om vanaf UEFI te bel, laat jou toe om 'n digitale handtekening-integriteit en geldigheidskontrole te gebruik wat nie net die kern dek nie, maar ook die inhoud van die initrd. Terselfdertyd laat ondersteuning vir oproepe vanaf tradisionele selflaaiers jou toe om funksies te stoor soos die aflewering van verskeie weergawes van die kern en outomatiese terugrol na 'n werkende kern in geval probleme met die nuwe kern opgespoor word nadat die opdatering geïnstalleer is.
Tans gebruik die meeste Linux-verspreidings die ketting "firmware → digitaal ondertekende Microsoft shim laag → digitaal ondertekende verspreiding GRUB selflaaiprogram → digitaal ondertekende verspreiding Linux kern → ongetekende initrd omgewing → root FS" in die inisialiseringsproses. Die gebrek aan initrd-verifikasie in tradisionele verspreidings skep sekuriteitsprobleme, aangesien hierdie omgewing onder andere sleutels onttrek om die wortel FS te dekripteer.
Verifikasie van die initrd-beeld word nie ondersteun nie, aangesien hierdie lêer op die gebruiker se plaaslike stelsel gegenereer word en nie deur die verspreiding se digitale handtekening gesertifiseer kan word nie, wat die organisasie van verifikasie baie bemoeilik wanneer die SecureBoot-modus gebruik word (om die initrd te verifieer, benodig die gebruiker om sy sleutels te genereer en dit in die UEFI-firmware te laai). Boonop laat die bestaande selflaaiorganisasie nie die gebruik van inligting van die TPM PCR (Platform Configuration Register) registers toe om die integriteit van gebruikersruimtekomponente anders as shim, grub en die kern te beheer nie. Onder die bestaande probleme word ook die komplikasie van die opdatering van die selflaaiprogram genoem en die onvermoë om toegang tot sleutels in TPM te beperk vir ouer OS-weergawes wat irrelevant geword het nadat die opdatering geïnstalleer is.
Die hoofdoelwitte van die implementering van die nuwe selflaai-argitektuur is:
- Die verskaffing van 'n volledig geverifieerde aflaaiproses, wat alle stadiums van firmware tot gebruikersruimte dek, en die geldigheid en integriteit van die afgelaaide komponente bevestig.
- Binding van beheerde hulpbronne aan TPM PCR-registers met verdeling deur eienaars.
- Vermoë om PCR-waardes vooraf te bereken gebaseer op kernselflaai, initrd, konfigurasie en plaaslike stelsel-ID.
- Beskerming teen terugrolaanvalle wat verband hou met terugrol na die vorige kwesbare weergawe van die stelsel.
- Vereenvoudig en verbeter die betroubaarheid van opdaterings.
- Ondersteuning vir OS-opdaterings wat nie heraansoek of plaaslike voorsiening van TPM-beskermde hulpbronne vereis nie.
- Gereedheid van die stelsel vir afstandsertifisering om die korrektheid van die selflaaibare bedryfstelsel en instellings te bevestig.
- Die vermoë om sensitiewe data aan sekere opstartfases te heg, byvoorbeeld om enkripsiesleutels vir die wortel-FS uit die TPM te onttrek.
- Voorsien 'n veilige, outomatiese en stil proses om sleutels te ontsluit om 'n skyf met 'n wortelpartisie te dekripteer.
- Die gebruik van skyfies wat die TPM 2.0-spesifikasie ondersteun, met die vermoë om terug te val na stelsels sonder TPM.
Bron: opennet.ru