לנארט פוטרינג הציע ארכיטקטורת אתחול חדשה מאומתת של לינוקס

Lennart Poettering פרסם הצעה למודרניזציה של תהליך האתחול עבור הפצות לינוקס, שמטרתה לפתור בעיות קיימות ולפשט את הארגון של אתחול מאומת מלא המאשר את המהימנות של הליבה וסביבת המערכת הבסיסית. השינויים הנדרשים ליישום הארכיטקטורה החדשה כבר כלולים בבסיס הקוד של המערכת ומשפיעים על רכיבים כגון systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ו-systemd-creds.

השינויים המוצעים מסתכמים ביצירת תמונה אוניברסלית אחת UKI (תמונת ליבה מאוחדת), המשלבת את תמונת ליבת לינוקס, מטפל לטעינת הליבה מ-UEFI (UEFI boot stub) וסביבת מערכת initrd שנטענת לזיכרון, המשמשת עבור אתחול אתחול בשלב שלפני הרכבת השורש FS. במקום תמונת דיסק RAM מקורית, ניתן לארוז את המערכת כולה ב-UKI, מה שמאפשר לך ליצור סביבות מערכת מאומתות במלואן הנטענות ב-RAM. תמונת UKI מעוצבת כקובץ הפעלה בפורמט PE, אותו ניתן לטעון לא רק באמצעות מטעני אתחול מסורתיים, אלא ניתן לקרוא ישירות מקושחת UEFI.

היכולת להתקשר מ-UEFI מאפשרת לך להשתמש בבדיקת תקינות חתימה דיגיטלית המכסה לא רק את הליבה, אלא גם את התוכן של ה-initrd. במקביל, תמיכה בהתקשרות ממעמיסי אתחול מסורתיים מאפשרת לך לשמור על תכונות כגון מסירה של מספר גרסאות של הליבה והחזרה אוטומטית לגרעין עובד אם מתגלות בעיות עם הליבה החדשה לאחר התקנת העדכון.

נכון לעכשיו, ברוב ההפצות של לינוקס, תהליך האתחול משתמש בשרשרת "קושחה → שכבת shim חתומה דיגיטלית של Microsoft → טוען אתחול GRUB חתום דיגיטלית על ידי ההפצה → ליבת לינוקס חתומה דיגיטלית → סביבת initrd ללא חתימה → שורש FS." היעדר אימות initrd בהפצות מסורתיות יוצר בעיות אבטחה, שכן, בין היתר, בסביבה זו מאחזרים את המפתחות לפענוח מערכת קבצי השורש.

אימות של תמונת initrd אינו נתמך מכיוון שקובץ זה נוצר במערכת המקומית של המשתמש ולא ניתן לאשר אותו עם חתימה דיגיטלית של ערכת ההפצה, מה שמקשה מאוד על ארגון האימות בעת שימוש במצב SecureBoot (כדי לאמת את initrd, המשתמש צריך ליצור מפתחות משלו ולטעון אותם לקושחה של UEFI). בנוסף, ארגון האתחול הנוכחי אינו מאפשר שימוש במידע מאוגרי TPM PCR (Platform Configuration Register) כדי לשלוט בשלמותם של רכיבי שטח המשתמש מלבד shim, grub והקרנל. בין הבעיות הקיימות מוזכרות גם המורכבות של עדכון ה-bootloader וחוסר היכולת להגביל את הגישה למפתחות ב-TPM עבור גרסאות ישנות יותר של מערכת ההפעלה שהפכו ללא רלוונטיות לאחר התקנת העדכון.

המטרות העיקריות של הצגת ארכיטקטורת הטעינה החדשה הן:

• מתן תהליך אתחול מאומת במלואו המשתרע מקושחה למרחב המשתמש, המאשר את תקפותם ותקינותם של הרכיבים המופעלים.
• קישור משאבים מבוקרים לאוגרי TPM PCR, מופרדים על ידי הבעלים.
• יכולת לחשב מראש ערכי PCR בהתבסס על הליבה, ה-initrd, התצורה ומזהה המערכת המקומי בשימוש במהלך האתחול.
• הגנה מפני התקפות החזרה לאחור הקשורות לחזרה לגרסה קודמת פגיעה של המערכת.
• פשט והגבר את אמינות העדכונים.
• תמיכה בעדכוני מערכת הפעלה שאינם מצריכים יישום מחדש או הקצאה מקומית של משאבים מוגני TPM.
• המערכת מוכנה לאישור מרחוק כדי לאשר את נכונות מערכת ההפעלה וההגדרות הטעונות.
• היכולת לצרף נתונים רגישים לשלבי אתחול מסוימים, למשל, חילוץ מפתחות הצפנה עבור מערכת קבצי השורש מה-TPM.
• מתן תהליך מאובטח, אוטומטי וללא משתמש לפתיחת מפתחות לפענוח כונן מחיצות שורש.
• שימוש בשבבים התומכים במפרט TPM 2.0, עם יכולת חזרה למערכות ללא TPM.

מקור: OpenNet.ru