Lennart Poettering-ը հրապարակել է Linux բաշխումների բեռնման գործընթացի արդիականացման առաջարկ՝ ուղղված առկա խնդիրների լուծմանը և պարզեցնելու ամբողջական ստուգված բեռնման կազմակերպումը, որը հաստատում է միջուկի և համակարգի հիմքում ընկած միջավայրի հուսալիությունը: Նոր ճարտարապետությունն իրականացնելու համար անհրաժեշտ փոփոխություններն արդեն ներառված են systemd codebase-ում և ազդում են այնպիսի բաղադրիչների վրա, ինչպիսիք են systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase և systemd-creds:
Առաջարկվող փոփոխությունները հանգում են UKI-ի (Unified Kernel Image) մեկ ունիվերսալ պատկերի ստեղծմանը, որը համատեղում է Linux միջուկի պատկերը, UEFI-ից միջուկը բեռնելու կարգավորիչը (UEFI boot stub) և հիշողության մեջ բեռնված initrd համակարգի միջավայրը, որն օգտագործվում է նախնական սկզբնավորումը փուլում, նախքան արմատային FS-ը տեղադրելը: Initrd RAM սկավառակի պատկերի փոխարեն ամբողջ համակարգը կարող է փաթեթավորվել UKI-ում, ինչը թույլ է տալիս ստեղծել լիովին ստուգված համակարգի միջավայրեր՝ բեռնված RAM-ում: UKI պատկերը ֆորմատավորվում է որպես գործարկվող ֆայլ PE ձևաչափով, որը կարող է բեռնվել ոչ միայն ավանդական բեռնախցիկների միջոցով, այլև կարելի է կանչել անմիջապես UEFI որոնվածից:
UEFI-ից զանգահարելու հնարավորությունը թույլ է տալիս օգտագործել թվային ստորագրության ամբողջականության ստուգում, որն ընդգրկում է ոչ միայն միջուկը, այլև initrd-ի բովանդակությունը: Միևնույն ժամանակ, ավանդական բեռնախցիկներից զանգելու աջակցությունը թույլ է տալիս պահպանել այնպիսի գործառույթներ, ինչպիսիք են միջուկի մի քանի տարբերակների առաքումը և աշխատանքային միջուկին ավտոմատ վերադարձը, եթե թարմացումը տեղադրելուց հետո նոր միջուկի հետ խնդիրներ հայտնաբերվեն:
Ներկայումս Linux բաշխումների մեծ մասում սկզբնավորման գործընթացում օգտագործվում է «որոնվածը → թվային ստորագրված Microsoft shim շերտ → GRUB boot loader թվային ստորագրված բաշխման կողմից → թվային ստորագրված Linux միջուկ → չստորագրված initrd միջավայր → root FS» շղթան։ Ավանդական բաշխումներում initrd ստուգման բացակայությունը անվտանգության խնդիրներ է ստեղծում, քանի որ, ի թիվս այլ բաների, այս միջավայրում վերցվում են արմատային ֆայլային համակարգի վերծանման բանալիները:
Initrd պատկերի ստուգումը չի ապահովվում, քանի որ այս ֆայլը ստեղծվում է օգտագործողի տեղական համակարգում և չի կարող վավերացվել բաշխիչ փաթեթի թվային ստորագրությամբ, ինչը մեծապես բարդացնում է ստուգման կազմակերպումը SecureBoot ռեժիմն օգտագործելիս (initrd-ը ստուգելու համար՝ օգտագործողը պետք է ստեղծի իր սեփական բանալիները և ներբեռնի դրանք UEFI որոնվածում): Բացի այդ, ընթացիկ boot կազմակերպությունը թույլ չի տալիս օգտագործել TPM PCR (Platform Configuration Register) ռեգիստրներից ստացված տեղեկատվությունը՝ վերահսկելու օգտվողի տարածքի բաղադրիչների ամբողջականությունը, բացի shim-ից, grub-ից և միջուկից: Առկա խնդիրների թվում նշվում են նաև բեռնիչի թարմացման բարդությունը և OS-ի հին տարբերակների համար TPM-ում ստեղների մուտքը սահմանափակելու անկարողությունը, որոնք թարմացումը տեղադրելուց հետո դարձել են անտեղի:
Նոր բեռնման ճարտարապետության ներդրման հիմնական նպատակներն են.
- Ապահովում է ամբողջությամբ ստուգված բեռնման գործընթաց, որը տարածվում է որոնվածից մինչև օգտագործողի տարածք՝ հաստատելով բեռնվող բաղադրիչների վավերականությունն ու ամբողջականությունը:
- Վերահսկվող ռեսուրսների միացում TPM PCR ռեգիստրներին՝ առանձնացված սեփականատիրոջ կողմից:
- PCR արժեքները նախապես հաշվարկելու ունակություն՝ հիմնված միջուկի, initrd-ի, կոնֆիգուրացիայի և տեղական համակարգի ID-ի վրա, որն օգտագործվում է բեռնման ժամանակ:
- Պաշտպանություն հետադարձ հարձակումներից, որոնք կապված են համակարգի նախկին խոցելի տարբերակին վերադառնալու հետ:
- Պարզեցնել և բարձրացնել թարմացումների հուսալիությունը:
- Աջակցություն ՕՀ-ի թարմացումներին, որոնք չեն պահանջում TPM-ով պաշտպանված ռեսուրսների կրկնակի կիրառում կամ տեղական տրամադրում:
- Համակարգը պատրաստ է հեռակա հավաստագրման՝ բեռնված ՕՀ-ի և կարգավորումների ճիշտությունը հաստատելու համար:
- Որոշակի բեռնման փուլերին զգայուն տվյալներ կցելու ունակություն, օրինակ՝ TPM-ից արմատային ֆայլային համակարգի համար կոդավորման բանալիներ հանելը:
- Անվտանգ, ավտոմատ և առանց օգտվողի գործընթացի ապահովում՝ արմատային միջնորմի սկավառակը վերծանելու համար բանալիները բացելու համար:
- Չիպերի օգտագործումը, որոնք աջակցում են TPM 2.0 բնութագրին, առանց TPM համակարգերի հետ վերադառնալու հնարավորությամբ:
Source: opennet.ru