Lennart Poettering-ek Linux banaketen abiarazte-prozesua modernizatzeko proposamen bat argitaratu du, dauden arazoak konpontzeko eta nukleoaren eta azpiko sistema-ingurunearen fidagarritasuna berresten duen egiaztatutako abio osoa antolatzea errazteko. Arkitektura berria ezartzeko beharrezkoak diren aldaketak systemd codebasen sartuta daude dagoeneko eta systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase eta systemd-creds bezalako osagaiei eragiten diete.
Proposatutako aldaketak UKI (Nukleo Irudi bateratua) irudi unibertsal bakarra sortzean datza, Linux nukleoaren irudia, nukleoa UEFItik kargatzeko kudeatzailea (UEFI boot stub) eta memorian kargatutako initrd sistemaren ingurunea konbinatuz. hasierako hasierako fasean erro FS muntatu aurretik. Initrd RAM diskoaren irudiaren ordez, sistema osoa UKIn ontziratu daiteke, eta horri esker, RAMan kargatutako sistema-ingurune guztiz egiaztatuak sortzeko aukera ematen du. UKI irudia PE formatuan fitxategi exekutagarri gisa diseinatuta dago, abio-kargagailu tradizionalak erabiliz ez ezik, UEFI firmwaretik zuzenean dei daiteke.
UEFItik deitzeko gaitasunak nukleoa ez ezik, initrd-aren edukia ere estaltzen duen sinadura digitalaren osotasunaren egiaztapena erabil dezakezu. Aldi berean, ohiko abio-kargagailuetatik deitzeko laguntzak, besteak beste, nukleoaren hainbat bertsio entregatu eta funtzionatzen duen nukleo batera itzulera automatikoko funtzioak mantentzea ahalbidetzen du, eguneraketa instalatu ondoren nukleo berriarekin arazoak hautematen badira.
Gaur egun, Linux banaketa gehienetan, hasierako prozesuak katea erabiltzen du "firmware β digitalki sinatutako Microsoft shim geruza β GRUB abio-kargatzailea banaketak digitalki sinatuta β digitalki sinatuta dagoen Linux nukleoa β sinatu gabeko initrd ingurunea β root FS". Banaketa tradizionaletan initrd egiaztapenik ezak segurtasun arazoak sortzen ditu, izan ere, besteak beste, ingurune honetan erro fitxategi-sistema deszifratzeko gakoak berreskuratzen dira.
Ez da onartzen initrd irudiaren egiaztapena, fitxategi hau erabiltzailearen sistema lokalean sortzen baita eta ezin baita ziurtatu banaketa-kitaren sinadura digitalarekin, eta horrek asko zailtzen du egiaztapenaren antolaketa SecureBoot modua erabiltzean (initrd egiaztatzeko, erabiltzaileak bere gakoak sortu eta UEFI firmwarean kargatu behar ditu). Gainera, egungo abiarazte-erakundeak ez du onartzen TPM PCR (Platform Configuration Register) erregistroetako informazioa erabiltzea shim, grub eta kernel-a ez den erabiltzaile-espazioaren osagaien osotasuna kontrolatzeko. Dauden arazoen artean, abio-kargatzailea eguneratzearen konplexutasuna eta eguneratzea instalatu ondoren garrantzirik gabe geratu diren sistema eragilearen bertsio zaharretarako TPMn gakoetarako sarbidea mugatzeko ezintasuna ere aipatzen dira.
Karga-arkitektura berria ezartzearen helburu nagusiak hauek dira:
- Firmwaretik erabiltzailearen espaziora doan guztiz egiaztatutako abio-prozesua eskaintzea, abiarazten ari diren osagaien baliozkotasuna eta osotasuna berresten duena.
- Kontrolatutako baliabideak TPM PCR erregistroekin lotzea, jabearen arabera bereizita.
- Abioan erabilitako nukleoan, initrd-ean, konfigurazioan eta sistema lokalaren IDan oinarritutako PCR balioak aldez aurretik kalkulatzeko gaitasuna.
- Sistemaren aurreko bertsio zaurgarri batera itzultzearekin lotutako itzulera-erasoen aurkako babesa.
- Eguneratzeen fidagarritasuna erraztu eta handitu.
- TPM-k babestutako baliabideak berriro aplikatzea edo tokiko hornidura behar ez duten OS eguneratzeetarako laguntza.
- Sistema prest dago urruneko ziurtagiria lortzeko, kargatutako sistema eragilearen eta ezarpenen zuzentasuna berresteko.
- Zenbait abio-etapatan datu sentikorrak eransteko gaitasuna, adibidez, erroko fitxategi-sistemarako enkriptatze-gakoak TPMtik ateratzea.
- Erro partizio unitate bat deszifratzeko gakoak desblokeatzeko prozesu seguru, automatikoa eta erabiltzailerik gabekoa eskaintzea.
- TPM 2.0 zehaztapena onartzen duten txipak erabiltzea, TPMrik gabeko sistemetara itzultzeko gaitasunarekin.
Iturria: opennet.ru