🥇Lennart Pottering-მა შემოგვთავაზა ახალი დამოწმებული ჩატვირთვის არქიტექტურა Linux

Lennart Poettering-მა გამოაქვეყნა წინადადება ლინუქსის დისტრიბუციებისთვის ჩატვირთვის პროცესის მოდერნიზების შესახებ, რომელიც მიზნად ისახავს არსებული პრობლემების გადაჭრას და სრული დამოწმებული ჩატვირთვის ორგანიზების გამარტივებას, რომელიც ადასტურებს ბირთვის საიმედოობას და ფუძემდებლური სისტემის გარემოს. ახალი არქიტექტურის განსახორციელებლად საჭირო ცვლილებები უკვე შედის systemd კოდების ბაზაში და გავლენას ახდენს ისეთ კომპონენტებზე, როგორიცაა systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase და systemd-creds.

შემოთავაზებული ცვლილებები ემყარება ერთი უნივერსალური სურათის შექმნას UKI (Unified Kernel Image), რომელიც აერთიანებს Linux ბირთვის სურათს, UEFI-დან ბირთვის ჩატვირთვის დამმუშავებელს (UEFI boot stub) და initrd სისტემის გარემოს, რომელიც ჩატვირთულია მეხსიერებაში, რომელიც გამოიყენება საწყისი ინიციალიზაცია ეტაპზე FS root-ის დამონტაჟებამდე. RAM-ის initrd დისკის გამოსახულების ნაცვლად, მთელი სისტემა შეიძლება შეფუთული იყოს UKI-ში, რაც საშუალებას გაძლევთ შექმნათ სრულად დამოწმებული სისტემის გარემო დატვირთული RAM-ში. UKI სურათი დაფორმატებულია როგორც შესრულებადი ფაილი PE ფორმატში, რომელიც შეიძლება ჩაიტვირთოს არა მხოლოდ ტრადიციული ჩამტვირთველების გამოყენებით, არამედ შეიძლება გამოიძახოთ პირდაპირ UEFI firmware-დან.

UEFI-დან დარეკვის შესაძლებლობა საშუალებას გაძლევთ გამოიყენოთ ციფრული ხელმოწერის მთლიანობის შემოწმება, რომელიც მოიცავს არა მხოლოდ ბირთვს, არამედ initrd-ის შინაარსსაც. ამავდროულად, ტრადიციული ჩამტვირთავებიდან გამოძახების მხარდაჭერა საშუალებას გაძლევთ შეინარჩუნოთ ისეთი ფუნქციები, როგორიცაა ბირთვის რამდენიმე ვერსიის მიწოდება და ავტომატური დაბრუნება სამუშაო ბირთვზე, თუ განახლების ინსტალაციის შემდეგ ახალ ბირთვთან დაკავშირებული პრობლემები გამოვლინდება.

ამჟამად, Linux-ის დისტრიბუციების უმეტესობაში, ინიციალიზაციის პროცესი იყენებს ჯაჭვს "firmware → ციფრულად ხელმოწერილი Microsoft shim layer → GRUB boot loader ციფრულად ხელმოწერილი დისტრიბუციის მიერ → ციფრულად ხელმოწერილი Linux kernel → ხელმოუწერელი initrd გარემო → root FS". ტრადიციულ დისტრიბუციებში initrd გადამოწმების ნაკლებობა ქმნის უსაფრთხოების პრობლემებს, რადგან, სხვა საკითხებთან ერთად, ამ გარემოში ხდება root ფაილური სისტემის გაშიფვრის გასაღებები.

initrd სურათის გადამოწმება არ არის მხარდაჭერილი, რადგან ეს ფაილი გენერირებულია მომხმარებლის ლოკალურ სისტემაზე და არ შეიძლება დამოწმებული იყოს განაწილების ნაკრების ციფრული ხელმოწერით, რაც მნიშვნელოვნად ართულებს გადამოწმების ორგანიზებას SecureBoot რეჟიმის გამოყენებისას (initrd-ის შესამოწმებლად, მომხმარებელმა უნდა შექმნას საკუთარი გასაღებები და ჩატვირთოს ისინი UEFI firmware-ში). გარდა ამისა, ამჟამინდელი ჩატვირთვის ორგანიზაცია არ იძლევა ინფორმაციის გამოყენებას TPM PCR (პლატფორმის კონფიგურაციის რეგისტრი) რეგისტრებიდან მომხმარებლის სივრცის კომპონენტების მთლიანობის გასაკონტროლებლად, გარდა shim, grub და ბირთვისა. არსებულ პრობლემებს შორის ასევე ნახსენებია ჩამტვირთველის განახლების სირთულე და TPM-ში გასაღებებზე წვდომის შეზღუდვის შეუძლებლობა OS-ის ძველი ვერსიებისთვის, რომლებიც შეუსაბამო გახდა განახლების დაყენების შემდეგ.

ახალი დატვირთვის არქიტექტურის დანერგვის ძირითადი მიზნებია:

სრულად დამოწმებული ჩატვირთვის პროცესის უზრუნველყოფა, რომელიც მოიცავს firmware-დან მომხმარებლის სივრცემდე, ადასტურებს ჩატვირთვის კომპონენტების ნამდვილობასა და მთლიანობას.
კონტროლირებადი რესურსების დაკავშირება TPM PCR რეგისტრებთან, გამოყოფილი მფლობელის მიერ.
PCR მნიშვნელობების წინასწარ გამოთვლის შესაძლებლობა ბირთვის, initrd-ის, კონფიგურაციისა და სისტემის ლოკალური ID-ის საფუძველზე, რომელიც გამოიყენება ჩატვირთვისას.
დაცვა უკან დაბრუნების შეტევებისგან, რომლებიც დაკავშირებულია სისტემის წინა დაუცველ ვერსიაზე დაბრუნებასთან.
გაამარტივეთ და გაზარდეთ განახლებების სანდოობა.
OS-ის განახლებების მხარდაჭერა, რომლებიც არ საჭიროებს ხელახლა გამოყენებას ან TPM-ით დაცული რესურსების ადგილობრივ უზრუნველყოფას.
სისტემა მზად არის დისტანციური სერტიფიცირებისთვის, რათა დაადასტუროს ჩატვირთული OS და პარამეტრების სისწორე.
სენსიტიური მონაცემების გარკვეული ჩატვირთვის ეტაპებზე მიმაგრების შესაძლებლობა, მაგალითად, ძირეული ფაილური სისტემის დაშიფვრის გასაღებების ამოღება TPM-დან.
უსაფრთხო, ავტომატური და მომხმარებლისგან თავისუფალი პროცესის უზრუნველყოფა გასაღებების განბლოკვისთვის root დანაყოფის დისკის გაშიფვრისთვის.
ჩიპების გამოყენება, რომლებიც მხარს უჭერენ TPM 2.0 სპეციფიკაციას, TPM-ის გარეშე სისტემებზე გადაბრუნების შესაძლებლობით.

წყარო: opennet.ru

ლენარტ პოტერინგმა შესთავაზა ახალი Linux-ის დამოწმებული ჩატვირთვის არქიტექტურა

ახალი კომენტარის დამატება

ლენარტ პოტერინგმა შესთავაზა ახალი Linux-ის დამოწმებული ჩატვირთვის არქიტექტურა

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება