Lennart Poettering publikigis proponon por modernigi la ekprocezon de Linuksaj distribuoj, celante solvi ekzistantajn problemojn kaj simpligi la organizon de plenrajta kontrolita ekfunkciigo, konfirmante la aŭtentecon de la kerno kaj la subesta sistema medio. La ŝanĝoj necesaj por efektivigi la novan arkitekturon jam estas inkluditaj en la systemd-kodbazo kaj influas komponentojn kiel ekzemple systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, kaj systemd-creds.
La proponitaj ŝanĝoj estas reduktitaj al la kreado de ununura universala bildo UKI (Unified Kernel Image) kiu kombinas la Linuksan kernan bildon, la pritraktilon por ŝarĝi la kernon de UEFI (UEFI-ŝargo-stubo) kaj la initrd-sisteman medion ŝarĝitan en memoron, uzatan por komenca inicialigo ĉe la stadio antaŭ muntado de la radiko FS. Anstataŭe de initrd RAM-diskobildo, la tuta sistemo povas esti enpakita en la UKI, permesante la kreadon de plene kontrolitaj sistemaj medioj kiuj estas ŝarĝitaj en RAM. UKI-bildo estas farita en formo de rulebla dosiero en PE-formato, kiu povas esti ŝargita ne nur per tradiciaj ekŝargiloj, sed rekte vokita de la UEFI-firmvaro.
La kapablo voki de UEFI permesas vin uzi ciferecan subskriban integrecon kaj valideckontrolon, kiu kovras ne nur la kernon, sed ankaŭ la enhavon de la initrd. Samtempe, subteno por vokado de tradiciaj ekŝargiloj ebligas al vi konservi tiajn funkciojn kiel la liveron de pluraj versioj de la kerno kaj aŭtomatan restarigon al funkcianta kerno en la okazo ke problemoj kun la nova kerno estos detektitaj post instalo de la ĝisdatigo.
Nuntempe, la plej multaj Linuksaj distribuoj uzas la ĉenon "firmware → ciferece subskribita Microsoft shim-tavolo → ciferece subskribita distribuo GRUB-ŝargilo → ciferece subskribita distribuo Linukso-kerno → nesubskribita initrd medio → radiko FS" en la komenca procezo. La manko de initrd-kontrolo en tradiciaj distribuoj kreas sekurecproblemojn, ĉar, interalie, ĉi tiu medio ĉerpas ŝlosilojn por deĉifri la radikon FS.
Konfirmo de la initrd-bildo ne estas subtenata, ĉar ĉi tiu dosiero estas generita sur la loka sistemo de la uzanto kaj ne povas esti atestita per la cifereca subskribo de la distribuo, kio multe malfaciligas la organizon de konfirmo kiam oni uzas la SecureBoot-reĝimon (por kontroli la initrd, la uzanto bezonas por generi siajn ŝlosilojn kaj ŝargi ilin en la UEFI-firmvaro). Krome, la ekzistanta botorganizo ne permesas uzi informojn de la TPM PCR (Platform Configuration Register) registroj por kontroli la integrecon de uzantspacaj komponantoj krom shim, grub kaj la kerno. Inter la ekzistantaj problemoj, la komplikaĵo de ĝisdatigo de la ekŝargilo kaj la malkapablo limigi aliron al ŝlosiloj en TPM por pli malnovaj OS-versioj, kiuj fariĝis palaj post instalo de la ĝisdatigo, estas ankaŭ menciitaj.
La ĉefaj celoj de efektivigado de la nova boto-arkitekturo estas:
- Provizante plene kontrolitan elŝutan procezon, kovrante ĉiujn stadiojn de firmvaro ĝis uzantspaco, kaj konfirmante la validecon kaj integrecon de la elŝutitaj komponantoj.
- Ligado de kontrolitaj rimedoj al TPM PCR registras kun dividado de posedantoj.
- Kapablo antaŭkalkuli PCR-valorojn surbaze de kerna lanĉo, initrd, agordo kaj loka sistema ID.
- Protekto kontraŭ malfunkciaj atakoj asociitaj kun retroiro al la antaŭa vundebla versio de la sistemo.
- Simpligu kaj plibonigu la fidindecon de ĝisdatigoj.
- Subteno por OS-ĝisdatigoj, kiuj ne postulas reaplikadon aŭ lokan provizadon de TPM-protektitaj rimedoj.
- Preteco de la sistemo por fora atestado por konfirmi la ĝustecon de la startebla OS kaj agordoj.
- La kapablo alligi sentemajn datumojn al certaj lanĉaj etapoj, ekzemple, ĉerpi ĉifrajn ŝlosilojn por la radiko FS de la TPM.
- Provizu sekuran, aŭtomatan kaj silentan procezon por malŝlosi ŝlosilojn por deĉifri diskon kun radika sekcio.
- La uzo de blatoj kiuj subtenas la TPM 2.0-specifon, kun la kapablo reveni al sistemoj sen TPM.
fonto: opennet.ru