Lennart Poettering on julkaissut ehdotuksen Linux-jakelujen käynnistysprosessin modernisoimiseksi. Tavoitteena on ratkaista olemassa olevat ongelmat ja yksinkertaistaa ytimen ja taustalla olevan järjestelmäympäristön luotettavuuden vahvistavan täysin varmennetun käynnistyksen järjestämistä. Uuden arkkitehtuurin toteuttamiseen tarvittavat muutokset sisältyvät jo systemd-koodikantaan ja vaikuttavat komponentteihin, kuten systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ja systemd-creds.
Ehdotetut muutokset tiivistyvät yhden yleisen kuvan UKI (Unified Kernel Image) luomiseen, jossa yhdistyvät Linux-ytimen näköistiedosto, käsittelijä ytimen lataamiseksi UEFI:stä (UEFI boot stub) ja muistiin ladattu initrd-järjestelmäympäristö, jota käytetään alustava alustus vaiheessa ennen juuri FS:n asentamista. Initrd RAM -levykuvan sijaan koko järjestelmä voidaan pakata UKI:hen, jolloin voit luoda täysin varmennettuja järjestelmäympäristöjä, jotka ladataan RAM-muistiin. UKI-kuva on alustettu suoritettavaksi tiedostoksi PE-muodossa, jota voidaan ladata perinteisten käynnistyslatainten lisäksi suoraan UEFI-laiteohjelmistosta.
UEFI:stä soittaminen mahdollistaa digitaalisen allekirjoituksen eheyden tarkistamisen, joka kattaa ytimen lisäksi myös initrd:n sisällön. Samaan aikaan perinteisten käynnistyslatainten kutsumisen tuki mahdollistaa sellaisten ominaisuuksien säilyttämisen, kuten useiden ytimen versioiden toimituksen ja automaattisen palautuksen toimivaan ytimeen, jos uudessa ytimessä havaitaan ongelmia päivityksen asennuksen jälkeen.
Tällä hetkellä useimmissa Linux-jakeluissa alustusprosessi käyttää ketjua "laiteohjelmisto → digitaalisesti allekirjoitettu Microsoftin välityskerros → jakelun digitaalisesti allekirjoittama GRUB-käynnistyslatain → digitaalisesti allekirjoitettu Linux-ydin → allekirjoittamaton initrd-ympäristö → root FS." Initrd-vahvistuksen puute perinteisissä jakeluissa aiheuttaa turvallisuusongelmia, koska muun muassa tässä ympäristössä haetaan juuritiedostojärjestelmän salauksen purkamiseen tarvittavat avaimet.
Initrd-kuvan varmennusta ei tueta, koska tämä tiedosto luodaan käyttäjän paikallisessa järjestelmässä eikä sitä voida varmentaa jakelupaketin digitaalisella allekirjoituksella, mikä vaikeuttaa suuresti varmennuksen järjestämistä käytettäessä SecureBoot-tilaa (aloitustiedoston tarkistamiseksi, käyttäjän on luotava omat avaimensa ja ladattava ne UEFI-laiteohjelmistoon). Lisäksi nykyinen käynnistysorganisaatio ei salli TPM PCR (Platform Configuration Register) -rekisterien tietojen käyttöä muiden käyttäjätilan komponenttien kuin välilevyn, grubin ja ytimen eheyden ohjaamiseen. Nykyisten ongelmien joukossa mainitaan myös käynnistyslataimen päivityksen monimutkaisuus ja kyvyttömyys rajoittaa pääsyä TPM:n avaimiin vanhemmille käyttöjärjestelmän versioille, jotka ovat tulleet merkityksettömiksi päivityksen asennuksen jälkeen.
Uuden latausarkkitehtuurin käyttöönoton päätavoitteet ovat:
- Tarjoaa täysin varmennetun käynnistysprosessin, joka ulottuu laiteohjelmistosta käyttäjätilaan ja vahvistaa ladattavien komponenttien oikeellisuuden ja eheyden.
- Ohjattujen resurssien linkittäminen TPM PCR -rekistereihin omistajan mukaan erotettuina.
- Mahdollisuus laskea etukäteen PCR-arvot käynnistyksen aikana käytetyn ytimen, initrd:n, kokoonpanon ja paikallisen järjestelmätunnuksen perusteella.
- Suojaus palautushyökkäyksiä vastaan, jotka liittyvät järjestelmän aiempaan haavoittuvaan versioon palaamiseen.
- Yksinkertaista ja lisää päivitysten luotettavuutta.
- Tuki käyttöjärjestelmän päivityksille, jotka eivät vaadi TPM-suojattujen resurssien uudelleenkäyttöä tai paikallista hallintaa.
- Järjestelmä on valmis etäsertifiointiin ladatun käyttöjärjestelmän ja asetusten oikeellisuuden varmistamiseksi.
- Mahdollisuus liittää arkaluontoisia tietoja tiettyihin käynnistysvaiheisiin, esimerkiksi purkamalla juuritiedostojärjestelmän salausavaimia TPM:stä.
- Tarjoaa turvallisen, automaattisen ja käyttäjättömän prosessin avainten lukituksen avaamiseen juuriosioaseman salauksen purkamiseksi.
- TPM 2.0 -spesifikaatiota tukevien sirujen käyttö ja mahdollisuus palata järjestelmiin ilman TPM:ää.
Lähde: opennet.ru