Lennart Poettering ha publicat una proposta per modernitzar el procés d'arrencada de les distribucions de Linux, destinada a resoldre problemes existents i simplificar l'organització d'un arrencada verificada completa que confirmi la fiabilitat del nucli i l'entorn del sistema subjacent. Els canvis necessaris per implementar la nova arquitectura ja estan inclosos a la base de codi systemd i afecten components com ara systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase i systemd-creds.
Els canvis proposats es redueixen a la creació d'una única imatge universal UKI (Imatge del nucli unificat), que combina la imatge del nucli de Linux, un controlador per carregar el nucli des de UEFI (estub d'arrencada UEFI) i l'entorn del sistema initrd carregat a la memòria, utilitzat per inicialització inicial en l'etapa abans de muntar el FS arrel. En lloc d'una imatge de disc RAM initrd, tot el sistema es pot empaquetar a UKI, la qual cosa us permet crear entorns de sistema completament verificats carregats a la memòria RAM. La imatge UKI està dissenyada com un fitxer executable en format PE, que es pot carregar no només amb els carregadors d'arrencada tradicionals, sinó que també es pot cridar directament des del microprogramari UEFI.
La possibilitat de trucar des de UEFI us permet utilitzar una comprovació d'integritat de la signatura digital que cobreix no només el nucli, sinó també el contingut de l'initrd. Al mateix temps, el suport per a trucades des de carregadors d'arrencada tradicionals us permet conservar característiques com ara el lliurament de diverses versions del nucli i el retorn automàtic a un nucli que funcioni si es detecten problemes amb el nou nucli després d'instal·lar l'actualització.
Actualment, a la majoria de distribucions de Linux, el procés d'inicialització utilitza la cadena "firmware → capa de compensació de Microsoft signada digitalment → carregador d'arrencada GRUB signat digitalment per la distribució → nucli de Linux signat digitalment → entorn initrd no signat → root FS". La manca de verificació initrd en les distribucions tradicionals crea problemes de seguretat, ja que, entre altres coses, en aquest entorn es recuperen les claus per a desxifrar el sistema de fitxers arrel.
La verificació de la imatge initrd no és compatible ja que aquest fitxer es genera al sistema local de l'usuari i no es pot certificar amb una signatura digital del kit de distribució, la qual cosa complica molt l'organització de la verificació quan s'utilitza el mode SecureBoot (per verificar l'initrd, el l'usuari ha de generar les seves pròpies claus i carregar-les al firmware UEFI). A més, l'organització d'arrencada actual no permet l'ús de la informació dels registres TPM PCR (Registre de configuració de la plataforma) per controlar la integritat dels components de l'espai d'usuari que no siguin shim, grub i el nucli. Entre els problemes existents, també s'esmenten la complexitat d'actualitzar el carregador d'arrencada i la impossibilitat de restringir l'accés a les claus del TPM per a versions anteriors del sistema operatiu que han esdevingut irrellevants després d'instal·lar l'actualització.
Els objectius principals de la introducció de la nova arquitectura de càrrega són:
- Proporcionar un procés d'arrencada totalment verificat que abasta des del microprogramari fins a l'espai d'usuari, confirmant la validesa i la integritat dels components que s'estan arrencant.
- Enllaçar recursos controlats als registres TPM PCR, separats pel propietari.
- Capacitat de precalcular els valors de PCR basats en el nucli, initrd, configuració i ID del sistema local utilitzat durant l'arrencada.
- Protecció contra atacs de retrocés associats amb la recuperació a una versió vulnerable anterior del sistema.
- Simplifica i augmenta la fiabilitat de les actualitzacions.
- Suport per a les actualitzacions del sistema operatiu que no requereixen una nova aplicació o subministrament local de recursos protegits per TPM.
- El sistema està preparat per a la certificació remota per confirmar la correcció del sistema operatiu carregat i la configuració.
- La capacitat d'adjuntar dades sensibles a determinades etapes d'arrencada, per exemple, extreure claus de xifratge per al sistema de fitxers arrel del TPM.
- Proporcioneu un procés segur, automàtic i lliure d'usuari per desbloquejar claus per desxifrar una unitat de partició arrel.
- Ús de xips compatibles amb l'especificació TPM 2.0, amb la possibilitat de tornar a sistemes sense TPM.
Font: opennet.ru