Lennart Poetring, mövcud problemlərin həllinə və nüvənin və əsas sistem mühitinin həqiqiliyini təsdiqləyən tam hüquqlu təsdiqlənmiş yükləmənin təşkilini sadələşdirməyə yönəlmiş Linux paylamalarının yükləmə prosesinin modernləşdirilməsi təklifini dərc etdi. Yeni arxitekturanın tətbiqi üçün tələb olunan dəyişikliklər artıq sistem kod bazasına daxil edilib və systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase və systemd-creds kimi komponentlərə təsir göstərir.
Təklif olunan dəyişikliklər Linux nüvəsi şəklini, nüvənin UEFI-dən yüklənməsi üçün işləyicini (UEFI açılış stub) və yaddaşa yüklənmiş initrd sistem mühitini birləşdirən vahid universal UKI (Vahid Kernel Image) təsvirinin yaradılmasına qədər azaldılıb. kök FS quraşdırmadan əvvəl mərhələdə ilkin başlanğıc. Başlanğıc RAM disk təsviri əvəzinə, bütün sistem RAM-a yüklənmiş tam təsdiqlənmiş sistem mühitlərinin yaradılmasına imkan verən UKİ-də qablaşdırıla bilər. UKI-image PE formatında icra edilə bilən fayl şəklində hazırlanmışdır, bu, yalnız ənənəvi yükləyicilərdən istifadə etməklə yüklənə bilməz, lakin birbaşa UEFI proqram təminatından çağırılır.
UEFI-dən zəng etmək imkanı yalnız nüvəni deyil, həm də initrd-in məzmununu əhatə edən rəqəmsal imza bütövlüyü və etibarlılıq yoxlamasından istifadə etməyə imkan verir. Eyni zamanda, ənənəvi yükləyicilərdən zəng üçün dəstək, yeniləməni quraşdırdıqdan sonra yeni nüvə ilə bağlı problemlər aşkar edildikdə, nüvənin bir neçə versiyasının çatdırılması və işləyən nüvəyə avtomatik geri qaytarma kimi xüsusiyyətləri saxlamağa imkan verir.
Hazırda əksər Linux paylamaları işə salma prosesində “firmware → rəqəmsal imzalanmış Microsoft şim qatı → rəqəmsal imzalı paylama GRUB yükləyicisi → rəqəmsal imzalı paylama Linux nüvəsi → imzasız initrd mühiti → kök FS” zəncirindən istifadə edir. Ənənəvi paylamalarda initrd yoxlanışının olmaması təhlükəsizlik problemləri yaradır, çünki digər şeylərlə yanaşı, bu mühit kök FS-nin şifrəsini açmaq üçün açarları çıxarır.
Başlanğıc şəklinin yoxlanılması dəstəklənmir, çünki bu fayl istifadəçinin yerli sistemində yaradılır və paylamanın rəqəmsal imzası ilə təsdiq edilə bilməz, bu da SecureBoot rejimindən istifadə edərkən yoxlamanın təşkilini xeyli çətinləşdirir (initrd-i yoxlamaq üçün istifadəçi tələb edir açarlarını yaratmaq və onları UEFI proqram təminatına yükləmək). Bundan əlavə, mövcud yükləmə təşkilatı şim, grub və nüvədən başqa istifadəçi məkanı komponentlərinin bütövlüyünə nəzarət etmək üçün TPM PCR (Platforma Konfiqurasiya Qeydiyyatı) registrlərindən məlumatdan istifadə etməyə icazə vermir. Mövcud problemlər arasında yükləyicinin yenilənməsinin çətinləşməsi və yeniləmə quraşdırıldıqdan sonra əhəmiyyətsiz hala gələn köhnə ƏS versiyaları üçün TPM-də açarlara girişin məhdudlaşdırıla bilməməsi də qeyd olunur.
Yeni yükləmə arxitekturasının tətbiqinin əsas məqsədləri bunlardır:
- Firmware-dən istifadəçi sahəsinə qədər bütün mərhələləri əhatə edən və yüklənmiş komponentlərin etibarlılığını və bütövlüyünü təsdiq edən tam təsdiqlənmiş yükləmə prosesinin təmin edilməsi.
- Sahiblərə bölünməklə idarə olunan resursların TPM PCR registrlərinə bağlanması.
- Kernel açılışı, initrd, konfiqurasiya və yerli sistem ID-si əsasında PCR dəyərlərini əvvəlcədən hesablamaq imkanı.
- Sistemin əvvəlki həssas versiyasına geri qaytarma ilə əlaqəli geri qaytarma hücumlarına qarşı qorunma.
- Yeniləmələrin etibarlılığını sadələşdirin və təkmilləşdirin.
- TPM ilə qorunan resursların təkrar tətbiqini və ya yerli təminatını tələb etməyən ƏS yeniləmələri üçün dəstək.
- Yüklənə bilən OS və parametrlərin düzgünlüyünü təsdiqləmək üçün sistemin uzaqdan sertifikatlaşdırmaya hazırlığı.
- Həssas məlumatları müəyyən yükləmə mərhələlərinə əlavə etmək imkanı, məsələn, TPM-dən kök FS üçün şifrələmə açarlarının çıxarılması.
- Kök bölməsi olan sürücünün şifrəsini açmaq üçün açarların kilidini açmaq üçün təhlükəsiz, avtomatik və səssiz prosesi təmin edin.
- TPM olmadan sistemlərə geri qayıtmaq imkanı ilə TPM 2.0 spesifikasiyasını dəstəkləyən çiplərin istifadəsi.
Mənbə: opennet.ru