ಬೂಟ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಆಧುನೀಕರಿಸುವ ಪ್ರಸ್ತಾಪವನ್ನು ಲೆನ್ನಾರ್ಟ್ ಪೊಯೆಟರಿಂಗ್ ಪ್ರಕಟಿಸಿದೆ. Linux-distributions, ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸುವ ಮತ್ತು ಕರ್ನಲ್ ಮತ್ತು ಆಧಾರವಾಗಿರುವ ಸಿಸ್ಟಮ್ ಪರಿಸರದ ಸಿಂಧುತ್ವವನ್ನು ದೃಢೀಕರಿಸುವ ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಶೀಲಿಸಿದ ಬೂಟ್ ಪ್ರಕ್ರಿಯೆಯ ಸಂಘಟನೆಯನ್ನು ಸರಳಗೊಳಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ. ಹೊಸ ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅಗತ್ಯವಿರುವ ಬದಲಾವಣೆಗಳನ್ನು ಈಗಾಗಲೇ systemd ಕೋಡ್ಬೇಸ್ನಲ್ಲಿ ಸಂಯೋಜಿಸಲಾಗಿದೆ ಮತ್ತು systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, ಮತ್ತು systemd-creds ನಂತಹ ಘಟಕಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ.
ಪ್ರಸ್ತಾವಿತ ಬದಲಾವಣೆಗಳು ಒಂದೇ ಸಾರ್ವತ್ರಿಕ ಚಿತ್ರ UKI (ಯೂನಿಫೈಡ್ ಕರ್ನಲ್ ಇಮೇಜ್) ರಚನೆಗೆ ಕುದಿಯುತ್ತವೆ, ಇದು ಕರ್ನಲ್ ಚಿತ್ರವನ್ನು ಸಂಯೋಜಿಸುತ್ತದೆ. Linux, UEFI (UEFI ಬೂಟ್ ಸ್ಟಬ್) ನಿಂದ ಕರ್ನಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುವ ಹ್ಯಾಂಡ್ಲರ್ ಮತ್ತು ರೂಟ್ ಫೈಲ್ಸಿಸ್ಟಮ್ ಅನ್ನು ಆರೋಹಿಸುವ ಮೊದಲು ಪ್ರಾರಂಭಿಸಲು ಬಳಸಲಾಗುವ ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡಲಾದ initrd ಸಿಸ್ಟಮ್ ಪರಿಸರ. initrd RAM ಡಿಸ್ಕ್ ಇಮೇಜ್ ಬದಲಿಗೆ, ಸಂಪೂರ್ಣ ಸಿಸ್ಟಮ್ ಅನ್ನು UKI ಗೆ ಪ್ಯಾಕ್ ಮಾಡಬಹುದು, ಇದು RAM ಗೆ ಲೋಡ್ ಮಾಡಲಾದ ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಶೀಲಿಸಿದ ಸಿಸ್ಟಮ್ ಪರಿಸರಗಳನ್ನು ರಚಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. UKI ಇಮೇಜ್ ಅನ್ನು PE ಸ್ವರೂಪದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಆಗಿ ಪ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ, ಇದನ್ನು ಸಾಂಪ್ರದಾಯಿಕ ಬೂಟ್ಲೋಡರ್ಗಳಿಂದ ಮಾತ್ರವಲ್ಲದೆ UEFI ಫರ್ಮ್ವೇರ್ನಿಂದ ನೇರವಾಗಿ ಲೋಡ್ ಮಾಡಬಹುದು.
UEFI ನಿಂದ ಆಹ್ವಾನಿಸುವ ಸಾಮರ್ಥ್ಯವು ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಸಮಗ್ರತೆ ಮತ್ತು ಸಿಂಧುತ್ವ ಪರಿಶೀಲನೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ, ಇದು ಕರ್ನಲ್ ಅನ್ನು ಮಾತ್ರವಲ್ಲದೆ initrd ವಿಷಯಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿದೆ. ಸಾಂಪ್ರದಾಯಿಕ ಬೂಟ್ಲೋಡರ್ಗಳಿಂದ ಆಹ್ವಾನಕ್ಕೆ ಬೆಂಬಲವು ಬಹು ಕರ್ನಲ್ ಆವೃತ್ತಿಗಳನ್ನು ಒದಗಿಸುವುದು ಮತ್ತು ನವೀಕರಣವನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ ಹೊಸ ಕರ್ನಲ್ನಲ್ಲಿ ಸಮಸ್ಯೆಗಳು ಪತ್ತೆಯಾದರೆ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಕರ್ನಲ್ಗೆ ಸ್ವಯಂಚಾಲಿತ ರೋಲ್ಬ್ಯಾಕ್ನಂತಹ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಸಹ ಸಂರಕ್ಷಿಸುತ್ತದೆ.
ಪ್ರಸ್ತುತ, ಹೆಚ್ಚಿನ ವಿತರಣೆಗಳು Linux ಪ್ರಾರಂಭಿಕ ಪ್ರಕ್ರಿಯೆಯು ಈ ಕೆಳಗಿನ ಸರಪಳಿಯನ್ನು ಬಳಸುತ್ತದೆ: ಫರ್ಮ್ವೇರ್ → ಮೈಕ್ರೋಸಾಫ್ಟ್ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ನೊಂದಿಗೆ ಪ್ರಮಾಣೀಕರಿಸಿದ ಶಿಮ್ ಲೇಯರ್ → ವಿತರಣಾ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ನೊಂದಿಗೆ ಪ್ರಮಾಣೀಕರಿಸಿದ GRUB ಬೂಟ್ಲೋಡರ್ → ವಿತರಣಾ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ನೊಂದಿಗೆ ಪ್ರಮಾಣೀಕರಿಸಿದ ಕರ್ನಲ್ Linux → ಪರಿಶೀಲಿಸದ initrd ಪರಿಸರ → ಮೂಲ ಫೈಲ್ ವ್ಯವಸ್ಥೆ." ಸಾಂಪ್ರದಾಯಿಕ ವಿತರಣೆಗಳಲ್ಲಿ initrd ಪರಿಶೀಲನೆಯ ಕೊರತೆಯು ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ, ಏಕೆಂದರೆ, ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಈ ಪರಿಸರವನ್ನು ಮೂಲ ಫೈಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಕೀಗಳನ್ನು ಹೊರತೆಗೆಯಲು ಬಳಸಲಾಗುತ್ತದೆ.
initrd ಚಿತ್ರದ ಪರಿಶೀಲನೆಯನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ ಏಕೆಂದರೆ ಈ ಫೈಲ್ ಬಳಕೆದಾರರ ಸ್ಥಳೀಯ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ರಚಿಸಲ್ಪಟ್ಟಿದೆ ಮತ್ತು ವಿತರಣೆಯಿಂದ ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ. ಇದು SecureBoot ಮೋಡ್ ಅನ್ನು ಬಳಸುವಾಗ ಪರಿಶೀಲನೆಯನ್ನು ಹೆಚ್ಚು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ (initrd ಅನ್ನು ಪರಿಶೀಲಿಸಲು, ಬಳಕೆದಾರರು ತಮ್ಮದೇ ಆದ ಕೀಗಳನ್ನು ರಚಿಸಬೇಕು ಮತ್ತು ಅವುಗಳನ್ನು UEFI ಫರ್ಮ್ವೇರ್ಗೆ ಲೋಡ್ ಮಾಡಬೇಕು). ಇದಲ್ಲದೆ, ಪ್ರಸ್ತುತ ಬೂಟ್ ಸಂಸ್ಥೆಯು ಶಿಮ್, ಗ್ರಬ್ ಮತ್ತು ಕರ್ನಲ್ ಹೊರತುಪಡಿಸಿ ಬಳಕೆದಾರ-ಸ್ಥಳ ಘಟಕಗಳ ಸಮಗ್ರತೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು TPM PCR (ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಕಾನ್ಫಿಗರೇಶನ್ ರಿಜಿಸ್ಟರ್) ನಿಂದ ಮಾಹಿತಿಯನ್ನು ಬಳಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ. ಉಲ್ಲೇಖಿಸಲಾದ ಇತರ ಸಮಸ್ಯೆಗಳಲ್ಲಿ ಬೂಟ್ಲೋಡರ್ ಅನ್ನು ನವೀಕರಿಸುವ ತೊಂದರೆ ಮತ್ತು ನವೀಕರಣವನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ ಬಳಕೆಯಲ್ಲಿಲ್ಲದ ಹಳೆಯ OS ಆವೃತ್ತಿಗಳಿಗೆ TPM ಕೀಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸಲು ಅಸಮರ್ಥತೆ ಸೇರಿವೆ.
ಹೊಸ ಬೂಟ್ ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮುಖ್ಯ ಗುರಿಗಳು:
- ಫರ್ಮ್ವೇರ್ನಿಂದ ಬಳಕೆದಾರ ಸ್ಥಳದವರೆಗಿನ ಎಲ್ಲಾ ಹಂತಗಳನ್ನು ಒಳಗೊಂಡ, ಮತ್ತು ಬೂಟ್ ಮಾಡಲಾದ ಘಟಕಗಳ ಸಿಂಧುತ್ವ ಮತ್ತು ಸಮಗ್ರತೆಯನ್ನು ದೃಢೀಕರಿಸುವ, ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಶೀಲಿಸಿದ ಬೂಟ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಒದಗಿಸುವುದು.
- ನಿಯಂತ್ರಿತ ಸಂಪನ್ಮೂಲಗಳನ್ನು TPM PCR ರಿಜಿಸ್ಟರ್ಗಳಿಗೆ ಮಾಲೀಕರಿಂದ ವಿಭಜನೆಯೊಂದಿಗೆ ಬಂಧಿಸುವುದು.
- ಬೂಟ್ ಸಮಯದಲ್ಲಿ ಬಳಸುವ ಕರ್ನಲ್, initrd, ಕಾನ್ಫಿಗರೇಶನ್ ಮತ್ತು ಸ್ಥಳೀಯ ಸಿಸ್ಟಮ್ ಐಡೆಂಟಿಫೈಯರ್ ಅನ್ನು ಆಧರಿಸಿ PCR ಮೌಲ್ಯಗಳನ್ನು ಮೊದಲೇ ಲೆಕ್ಕಾಚಾರ ಮಾಡುವ ಸಾಮರ್ಥ್ಯ.
- ರೋಲ್ಬ್ಯಾಕ್ ದಾಳಿಯ ವಿರುದ್ಧ ರಕ್ಷಣೆ, ಇದರಲ್ಲಿ ವ್ಯವಸ್ಥೆಯ ಹಿಂದಿನ ದುರ್ಬಲ ಆವೃತ್ತಿಗೆ ಹಿಂತಿರುಗುವುದು ಸೇರಿದೆ.
- ನವೀಕರಣಗಳ ವಿಶ್ವಾಸಾರ್ಹತೆಯನ್ನು ಸರಳಗೊಳಿಸುವುದು ಮತ್ತು ಸುಧಾರಿಸುವುದು.
- TPM-ರಕ್ಷಿತ ಸಂಪನ್ಮೂಲಗಳ ಮರು-ಅನ್ವಯಿಕೆ ಅಥವಾ ಸ್ಥಳೀಯ ಪೂರೈಕೆಯ ಅಗತ್ಯವಿಲ್ಲದ OS ನವೀಕರಣಗಳಿಗೆ ಬೆಂಬಲ.
- ಬೂಟ್ ಮಾಡಬಹುದಾದ OS ಮತ್ತು ಸೆಟ್ಟಿಂಗ್ಗಳ ಸರಿಯಾದತೆಯನ್ನು ಖಚಿತಪಡಿಸಲು ಸಿಸ್ಟಮ್ ರಿಮೋಟ್ ಪ್ರಮಾಣೀಕರಣಕ್ಕೆ ಸಿದ್ಧವಾಗಿದೆ.
- TPM ನಿಂದ ರೂಟ್ ಫೈಲ್ಸಿಸ್ಟಮ್ಗಾಗಿ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಹೊರತೆಗೆಯುವಂತಹ ನಿರ್ದಿಷ್ಟ ಬೂಟ್ ಹಂತಗಳಿಗೆ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಲಗತ್ತಿಸುವ ಸಾಮರ್ಥ್ಯ.
- ರೂಟ್ ಪಾರ್ಟಿಷನ್ ಹೊಂದಿರುವ ಡ್ರೈವ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಕೀಗಳನ್ನು ಅನ್ಲಾಕ್ ಮಾಡಲು ಸುರಕ್ಷಿತ, ಸ್ವಯಂಚಾಲಿತ ಮತ್ತು ಬಳಕೆದಾರ-ರಹಿತ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ.
- TPM ಇಲ್ಲದೆಯೇ ಸಿಸ್ಟಮ್ಗಳಿಗೆ ಹಿಂತಿರುಗುವ ಸಾಮರ್ಥ್ಯದೊಂದಿಗೆ, TPM 2.0 ವಿವರಣೆಯನ್ನು ಬೆಂಬಲಿಸುವ ಚಿಪ್ಗಳ ಬಳಕೆ.
ಮೂಲ: opennet.ru
