Lennart Poettering pibliye yon pwopozisyon pou modènize pwosesis bòt la. Linux-distribisyon, ki vize adrese pwoblèm ki deja egziste yo epi senplifye òganizasyon yon pwosesis demaraj konplètman verifye ki konfime validite nwayo a ak anviwònman sistèm ki kache a. Chanjman ki nesesè pou aplike nouvo achitekti a deja enkòpore nan baz kòd systemd la epi afekte konpozan tankou systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, ak systemd-creds.
Chanjman yo pwopoze a se sèlman kreyasyon yon sèl imaj inivèsèl UKI (Unified Kernel Image), ki konbine imaj nwayo a Linux, yon manipilatè pou chaje nwayo a soti nan UEFI (UEFI boot stub), ak yon anviwònman sistèm initrd chaje nan memwa, yo itilize pou inisyalizasyon anvan yo monte sistèm fichye rasin lan. Olye de yon imaj disk RAM initrd, tout sistèm nan ka pake nan yon UKI, sa ki pèmèt kreyasyon anviwònman sistèm konplètman verifye ki chaje nan RAM. Imaj UKI a pake kòm yon fichye ègzekutabl nan fòma PE, ki ka chaje non sèlman pa bootloader tradisyonèl yo, men tou dirèkteman nan firmwèr UEFI a.
Kapasite pou rele nan UEFI pèmèt ou sèvi ak yon chèk entegrite siyati dijital ki kouvri pa sèlman nwayo a, men tou sa ki nan initrd la. An menm tan an, sipò pou apèl nan bootloaders tradisyonèl pèmèt ou kenbe karakteristik tankou livrezon plizyè vèsyon nan nwayo a ak otomatik rollback nan yon nwayo k ap travay si pwoblèm yo detekte ak nouvo nwayo a apre enstale aktyalizasyon a.
Kounye a, pifò distribisyon yo Linux Pwosesis inisyalizasyon an itilize chèn sa a: firmwèr â kouch shim sètifye ak yon siyati dijital Microsoft â bootloader GRUB sètifye ak yon siyati dijital distribisyon â nwayo sètifye ak yon siyati dijital distribisyon Linux â anviwònman initrd ki pa verifye â sistèm fichye rasin." Mank verifikasyon initrd nan distribisyon tradisyonèl yo kreye pwoblèm sekirite, paske, pami lòt bagay, anviwònman sa a itilize pou ekstrè kle pou dechifre sistèm fichye rasin lan.
Verifikasyon imaj initrd la pa sipòte paske fichye sa a se pwodwi sou sistèm lokal itilizatè a epi li pa ka sètifye ak yon siyati dijital nan twous distribisyon an, ki konplike òganizasyon verifikasyon an anpil lè w ap itilize mòd SecureBoot (pou verifye initrd la, itilizatè a bezwen jenere pwòp kle yo epi chaje yo nan firmwèr UEFI). Anplis de sa, òganizasyon bòt aktyèl la pa pèmèt itilizasyon enfòmasyon ki soti nan anrejistreman TPM PCR (Platform Configuration Register) pou kontwole entegrite konpozan espas itilizatè lòt pase shim, grub ak nwayo a. Pami pwoblèm ki egziste deja yo, yo mansyone konpleksite aktyalizasyon bootloader la ak enkapasite pou mete restriksyon sou aksè a kle nan TPM pou ansyen vèsyon eksplwatasyon an ki vin pa enpòtan apre enstale aktyalizasyon a.
Objektif prensipal yo nan entwodwi nouvo achitekti loading la se:
- Bay yon pwosesis demaraj konplètman verifye ki dire soti nan firmwèr ak espas itilizatè, ki konfime validite ak entegrite nan eleman yo ke yo demare.
- Lyen resous kontwole ak rejis TPM PCR, separe pa pwopriyetè.
- Kapasite pou pre-kalkile valè PCR ki baze sou nwayo a, initrd, konfigirasyon ak ID sistèm lokal yo itilize pandan bòt la.
- Pwoteksyon kont atak Rollback ki asosye ak woule tounen nan yon vèsyon anvan vilnerab nan sistèm nan.
- Senplifye ak ogmante fyab nan mizajou.
- Sipò pou mizajou OS ki pa mande pou re-aplikasyon oswa pwovizyon lokal resous ki pwoteje TPM.
- Sistèm nan pare pou sètifikasyon aleka konfime kòrèkteman OS la chaje ak anviwònman yo.
- Kapasite pou tache done sansib nan sèten etap bòt, pou egzanp, èkstraksyon kle chifreman pou sistèm dosye rasin nan TPM la.
- Bay yon pwosesis sekirite, otomatik, ak itilizatè-gratis pou debloke kle yo dechifre yon kondwi patisyon rasin.
- Sèvi ak chips ki sipòte spesifikasyon TPM 2.0, ak kapasite pou retounen nan sistèm san TPM.
Sous: opennet.ru
