Леннарт Поттеринг бар мәселелерді шешуге және ядроның және негізгі жүйелік ортаның түпнұсқалығын растайтын толыққанды тексерілген жүктеуді ұйымдастыруды жеңілдетуге бағытталған Linux дистрибутивтерінің жүктелу процесін жаңғырту ұсынысын жариялады. Жаңа архитектураны енгізу үшін қажетті өзгерістер жүйелік код базасына әлдеқашан енгізілген және systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase және systemd-creds сияқты құрамдастарға әсер етеді.
Ұсынылған өзгерістер Linux ядросының кескінін, ядроны UEFI жүйесінен жүктеуге арналған өңдегішті (UEFI жүктеу stub) және жадқа жүктелген initrd жүйесінің ортасын біріктіретін жалғыз әмбебап UKI (Unified Kernel Image) кескінін жасауға дейін төмендетілді. түбірлік FS монтаждау алдындағы кезеңде бастапқы инициализация. Initrd RAM дискінің кескінінің орнына бүкіл жүйені UKI-де буып-түюге болады, бұл жедел жадқа жүктелетін толық тексерілген жүйелік орталарды жасауға мүмкіндік береді. UKI-кескін PE пішіміндегі орындалатын файл түрінде жасалған, оны тек дәстүрлі жүктеушілер арқылы ғана емес, сонымен қатар UEFI микробағдарламасынан тікелей шақыруға болады.
UEFI-ден қоңырау шалу мүмкіндігі тек ядроны ғана емес, сонымен қатар initrd мазмұнын қамтитын цифрлық қолтаңбаның тұтастығы мен жарамдылығын тексеруді пайдалануға мүмкіндік береді. Сонымен қатар, дәстүрлі жүктеушілерден қоңырау шалуды қолдау жаңартуды орнатқаннан кейін жаңа ядроға қатысты мәселелер анықталған жағдайда ядроның бірнеше нұсқасын жеткізу және жұмыс істейтін ядроға автоматты түрде кері қайтару сияқты мүмкіндіктерді сақтауға мүмкіндік береді.
Қазіргі уақытта Linux дистрибутивтерінің көпшілігі инициализация процесінде «микробағдарлама → сандық қолтаңбасы бар Microsoft shim қабаты → цифрлық қолтаңбасы бар тарату GRUB жүктеушісі → сандық қолтаңбасы бар тарату Linux ядросы → қол қойылмаған initrd ортасы → түбір FS» тізбегін пайдаланады. Дәстүрлі дистрибутивтерде initrd тексеруінің болмауы қауіпсіздік мәселелерін тудырады, өйткені басқа нәрселермен қатар, бұл орта FS түбірінің шифрын ашу үшін кілттерді шығарады.
Initrd кескінін тексеруге қолдау көрсетілмейді, себебі бұл файл пайдаланушының жергілікті жүйесінде жасалады және таратудың цифрлық қолтаңбасымен куәландырылуы мүмкін емес, бұл SecureBoot режимін пайдалану кезінде тексеруді ұйымдастыруды айтарлықтай қиындатады (initrd-ді тексеру үшін пайдаланушы қажет оның кілттерін жасау және оларды UEFI микробағдарламасына жүктеу үшін). Бұған қоса, бар жүктеу ұйымы TPM PCR (платформа конфигурациясының тізілімі) регистрлерінен алынған ақпаратты shim, grub және ядродан басқа пайдаланушы-кеңістік құрамдастарының тұтастығын басқару үшін пайдалануға рұқсат бермейді. Бар проблемалардың ішінде жүктеу құралын жаңартудың қиындауы және жаңартуды орнатқаннан кейін маңызды емес болып қалған ескі ОЖ нұсқалары үшін TPM кілттеріне қол жеткізуді шектеу мүмкін еместігі де айтылған.
Жаңа жүктеу архитектурасын енгізудің негізгі мақсаттары:
- Микробағдарламадан пайдаланушы кеңістігіне дейінгі барлық кезеңдерді қамтитын толық тексерілген жүктеу процесін қамтамасыз ету және жүктелген құрамдастардың жарамдылығы мен тұтастығын растау.
- Бақыланатын ресурстарды иелеріне бөлу арқылы TPM ПТР регистрлеріне байланыстыру.
- Ядро жүктеуі, initrd, конфигурация және жергілікті жүйе идентификаторы негізінде ПТР мәндерін алдын ала есептеу мүмкіндігі.
- Жүйенің алдыңғы осал нұсқасына кері қайтарумен байланысты кері қайтару шабуылдарынан қорғау.
- Жаңартулардың сенімділігін жеңілдету және жақсарту.
- TPM арқылы қорғалған ресурстарды қайта қолдануды немесе жергілікті қамтамасыз етуді қажет етпейтін ОЖ жаңартуларына қолдау көрсету.
- Жүктелетін ОЖ мен параметрлердің дұрыстығын растау үшін жүйенің қашықтан сертификаттауға дайындығы.
- Белгілі бір жүктеу кезеңдеріне құпия деректерді тіркеу мүмкіндігі, мысалы, TPM жүйесінен түбірлік FS үшін шифрлау кілттерін шығару.
- Түбірлік бөлімі бар дискінің шифрын ашу үшін кілттерді ашу үшін қауіпсіз, автоматты және дыбыссыз процесті қамтамасыз етіңіз.
- TPM жоқ жүйелерге қайта оралу мүмкіндігі бар TPM 2.0 спецификациясын қолдайтын чиптерді пайдалану.
Ақпарат көзі: opennet.ru