Lennart Poettering te pibliye yon pwopozisyon pou modènize pwosesis bòt pou distribisyon Linux, ki vize pou rezoud pwoblèm ki deja egziste ak senplifye òganizasyon an nan yon bòt konplè verifye ki konfime fyab la nan nwayo a ak anviwònman sistèm ki kache. Chanjman ki nesesè pou aplike nouvo achitekti a deja enkli nan systemd codebase epi afekte konpozan tankou systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ak systemd-creds.
Chanjman yo pwopoze yo se kreyasyon yon sèl imaj inivèsèl UKI (Imaj Inifye Kernel), konbine imaj nwayo Linux la, yon moun kap okipe pou chaje nwayo a soti nan UEFI (UEFI boot stub) ak anviwònman sistèm initrd chaje nan memwa, ki itilize pou inisyalizasyon inisyal la nan etap la anvan monte rasin FS la. Olye pou yo yon imaj initrd RAM disk, tout sistèm nan ka pake nan UKI, ki pèmèt ou kreye anviwònman sistèm konplètman verifye chaje nan RAM. Imaj la UKI fòma kòm yon dosye ègzèkutabl nan fòma PE, ki ka chaje pa sèlman lè l sèvi avèk bootloaders tradisyonèl yo, men yo ka rele dirèkteman nan firmwèr UEFI.
Kapasite pou rele nan UEFI pèmèt ou sèvi ak yon chèk entegrite siyati dijital ki kouvri pa sèlman nwayo a, men tou sa ki nan initrd la. An menm tan an, sipò pou apèl nan bootloaders tradisyonèl pèmèt ou kenbe karakteristik tankou livrezon plizyè vèsyon nan nwayo a ak otomatik rollback nan yon nwayo k ap travay si pwoblèm yo detekte ak nouvo nwayo a apre enstale aktyalizasyon a.
Kounye a, nan pifò distribisyon Linux, pwosesis inisyalizasyon an sèvi ak chèn "firmware → kouch Microsoft shim siyen nimerik → GRUB boot loader siyen nimerik pa distribisyon an → nwayo Linux siyen dijital → anviwònman initrd ki pa siyen → rasin FS." Mank verifikasyon initrd nan distribisyon tradisyonèl yo kreye pwoblèm sekirite, paske, pami lòt bagay, nan anviwònman sa a kle yo pou dechifre sistèm dosye rasin lan.
Verifikasyon imaj initrd la pa sipòte paske fichye sa a se pwodwi sou sistèm lokal itilizatè a epi li pa ka sètifye ak yon siyati dijital nan twous distribisyon an, ki konplike òganizasyon verifikasyon an anpil lè w ap itilize mòd SecureBoot (pou verifye initrd la, itilizatè a bezwen jenere pwòp kle yo epi chaje yo nan firmwèr UEFI). Anplis de sa, òganizasyon bòt aktyèl la pa pèmèt itilizasyon enfòmasyon ki soti nan anrejistreman TPM PCR (Platform Configuration Register) pou kontwole entegrite konpozan espas itilizatè lòt pase shim, grub ak nwayo a. Pami pwoblèm ki egziste deja yo, yo mansyone konpleksite aktyalizasyon bootloader la ak enkapasite pou mete restriksyon sou aksè a kle nan TPM pou ansyen vèsyon eksplwatasyon an ki vin pa enpòtan apre enstale aktyalizasyon a.
Objektif prensipal yo nan entwodwi nouvo achitekti loading la se:
- Bay yon pwosesis demaraj konplètman verifye ki dire soti nan firmwèr ak espas itilizatè, ki konfime validite ak entegrite nan eleman yo ke yo demare.
- Lyen resous kontwole ak rejis TPM PCR, separe pa pwopriyetè.
- Kapasite pou pre-kalkile valè PCR ki baze sou nwayo a, initrd, konfigirasyon ak ID sistèm lokal yo itilize pandan bòt la.
- Pwoteksyon kont atak Rollback ki asosye ak woule tounen nan yon vèsyon anvan vilnerab nan sistèm nan.
- Senplifye ak ogmante fyab nan mizajou.
- Sipò pou mizajou OS ki pa mande pou re-aplikasyon oswa pwovizyon lokal resous ki pwoteje TPM.
- Sistèm nan pare pou sètifikasyon aleka konfime kòrèkteman OS la chaje ak anviwònman yo.
- Kapasite pou tache done sansib nan sèten etap bòt, pou egzanp, èkstraksyon kle chifreman pou sistèm dosye rasin nan TPM la.
- Bay yon pwosesis sekirite, otomatik, ak itilizatè-gratis pou debloke kle yo dechifre yon kondwi patisyon rasin.
- Sèvi ak chips ki sipòte spesifikasyon TPM 2.0, ak kapasite pou retounen nan sistèm san TPM.
Sous: opennet.ru