Mae Lennart Poettering wedi cyhoeddi cynnig i foderneiddio'r broses gychwyn ar gyfer dosbarthiadau Linux, gyda'r nod o ddatrys problemau sy'n bodoli eisoes a symleiddio'r broses o drefnu cychwyniad llawn wedi'i wirio sy'n cadarnhau dibynadwyedd y cnewyllyn ac amgylchedd y system sylfaenol. Mae'r newidiadau sydd eu hangen i weithredu'r bensaernïaeth newydd eisoes wedi'u cynnwys yn y gronfa god systemd ac yn effeithio ar gydrannau megis systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase a systemd-creds.
Mae'r newidiadau arfaethedig yn deillio o greu un ddelwedd gyffredinol UKI (Delwedd Cnewyllyn Unedig), sy'n cyfuno delwedd cnewyllyn Linux, triniwr ar gyfer llwytho'r cnewyllyn o UEFI (bonyn cychwyn UEFI) ac amgylchedd y system initrd wedi'i lwytho i'r cof, a ddefnyddir ar gyfer cychwyniad cychwynnol yn y cam cyn gosod y gwraidd FS. Yn lle delwedd disg RAM initrd, gellir pecynnu'r system gyfan yn UKI, sy'n eich galluogi i greu amgylcheddau system wedi'u dilysu'n llawn wedi'u llwytho i RAM. Mae delwedd UKI wedi'i chynllunio fel ffeil gweithredadwy mewn fformat PE, y gellir ei llwytho nid yn unig gan ddefnyddio cychwynwyr traddodiadol, ond y gellir ei galw'n uniongyrchol o firmware UEFI.
Mae'r gallu i alw o UEFI yn caniatáu ichi ddefnyddio gwiriad cyfanrwydd llofnod digidol sy'n cwmpasu nid yn unig y cnewyllyn, ond hefyd cynnwys yr initrd. Ar yr un pryd, mae cefnogaeth ar gyfer galwadau gan lwythwyr cychwyn traddodiadol yn caniatáu ichi gadw nodweddion fel cyflwyno sawl fersiwn o'r cnewyllyn a dychwelyd yn awtomatig i gnewyllyn gweithredol os canfyddir problemau gyda'r cnewyllyn newydd ar ôl gosod y diweddariad.
Ar hyn o bryd, yn y rhan fwyaf o ddosbarthiadau Linux, mae'r broses gychwyn yn defnyddio'r gadwyn “cadarnwedd → haen shim Microsoft wedi'i llofnodi'n ddigidol → llwythwr cychwyn GRUB wedi'i lofnodi'n ddigidol gan y dosbarthiad → cnewyllyn Linux wedi'i lofnodi'n ddigidol → amgylchedd initrd heb ei lofnodi → gwraidd FS.” Mae diffyg dilysiad initrd mewn dosbarthiadau traddodiadol yn creu problemau diogelwch, oherwydd, ymhlith pethau eraill, yn yr amgylchedd hwn mae'r allweddi ar gyfer dadgryptio'r system ffeiliau gwraidd yn cael eu hadalw.
Ni chefnogir dilysu'r ddelwedd initrd gan fod y ffeil hon yn cael ei chynhyrchu ar system leol y defnyddiwr ac ni ellir ei hardystio gyda llofnod digidol o'r pecyn dosbarthu, sy'n cymhlethu trefn y dilysu yn fawr wrth ddefnyddio'r modd SecureBoot (i ddilysu'r initrd, y mae angen i ddefnyddwyr gynhyrchu eu bysellau eu hunain a'u llwytho i mewn i firmware UEFI). Yn ogystal, nid yw'r sefydliad cychwyn presennol yn caniatáu defnyddio gwybodaeth o gofrestrau TPM PCR (Cofrestr Ffurfweddu Llwyfan) i reoli uniondeb cydrannau gofod defnyddwyr heblaw shim, grub a'r cnewyllyn. Ymhlith y problemau presennol, sonnir hefyd am gymhlethdod diweddaru'r cychwynnwr a'r anallu i gyfyngu mynediad at allweddi yn y TPM ar gyfer fersiynau hŷn o'r OS sydd wedi dod yn amherthnasol ar ôl gosod y diweddariad.
Prif nodau cyflwyno'r bensaernïaeth lwytho newydd yw:
- Darparu proses gychwyn wedi'i dilysu'n llawn sy'n ymestyn o firmware i ofod defnyddiwr, gan gadarnhau dilysrwydd a chywirdeb y cydrannau sy'n cael eu cychwyn.
- Cysylltu adnoddau rheoledig â chofrestrau PCR TPM, wedi'u gwahanu gan y perchennog.
- Y gallu i rag-gyfrifo gwerthoedd PCR yn seiliedig ar y cnewyllyn, initrd, cyfluniad ac ID system leol a ddefnyddir yn ystod cychwyn.
- Amddiffyniad rhag ymosodiadau dychwelyd sy'n gysylltiedig â dychwelyd i fersiwn bregus blaenorol o'r system.
- Symleiddio a chynyddu dibynadwyedd diweddariadau.
- Cefnogaeth ar gyfer diweddariadau OS nad oes angen eu hailgymhwyso na darparu adnoddau a ddiogelir gan TPM yn lleol.
- Mae'r system yn barod ar gyfer ardystiad o bell i gadarnhau cywirdeb yr AO a'r gosodiadau wedi'u llwytho.
- Y gallu i atodi data sensitif i gamau cychwyn penodol, er enghraifft, echdynnu allweddi amgryptio ar gyfer y system ffeiliau gwraidd o'r TPM.
- Darparu proses ddiogel, awtomatig a di-ddefnyddiwr ar gyfer datgloi allweddi i ddadgryptio gyriant rhaniad gwraidd.
- Defnyddio sglodion sy'n cefnogi manyleb TPM 2.0, gyda'r gallu i ddychwelyd i systemau heb TPM.
Ffynhonnell: opennet.ru