Lennart Poettering pêşniyarek ji bo modernîzekirina pêvajoya bootkirinê weşandiye. Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который может быть загружен не только при помощи традиционных загрузчиков, и напрямую вызван из прошивки UEFI.
Qabiliyeta gazîkirina ji UEFI dihêle hûn kontrolek yekbûna nîşana dîjîtal bikar bînin ku ne tenê kernel, lê di heman demê de naveroka initrd-ê jî vedigire. Di heman demê de, piştgirî ji bo bangkirina ji bootloaderên kevneşopî dihêle hûn taybetmendiyên wekî radestkirina çend guhertoyên kernelê û vegerandina otomatîkî ji kernelek xebitandinê re bihêlin heke piştî sazkirina nûvekirinê pirsgirêk bi kernelê nû werin dîtin.
В настоящее время в большинстве дистрибутивов Linux в процессе инициализации используется цепочка «прошивка → заверенная цифровой подписью Microsoft shim-прослойка → заверенный цифровой подписью дистрибутива загрузчик GRUB → заверенное цифровой подписью дистрибутива ядро Linux → не заверенное окружение initrd → корневая ФС». Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
Verastkirina wêneya initrd nayê piştgirî kirin ji ber ku ev pel li ser pergala herêmî ya bikarhêner hatî çêkirin û nikare bi îmzeyek dîjîtal a kîtê belavkirinê were pejirandin, ku ev yek rêxistina verastkirinê dema ku moda SecureBoot bikar tîne pir tevlihev dike (ji bo verastkirina initrd, pêdivî ye ku bikarhêner bişkojkên xwe biafirîne û wan di firmware UEFI de bar bike). Wekî din, rêxistina bootê ya heyî rê nade ku agahdariya ji tomarên TPM PCR (Qeyda Vesazkirina Platformê) bikar bîne da ku yekparebûna pêkhateyên cîhê bikarhêner ji bilî şim, grub û kernelê kontrol bike. Di nav pirsgirêkên heyî de, tevliheviya nûvekirina bootloader û nebûna sînordarkirina gihîştina bişkojkên di TPM-ê de ji bo guhertoyên kevn ên OS-ê yên ku piştî sazkirina nûvekirinê ne girîng bûne jî têne destnîşan kirin.
Armancên sereke yên danasîna mîmariya barkirina nû ev in:
- Pêşkêşkirina pêvajoyek bootê ya bi tevahî verastkirî ya ku ji firmware heya cîhê bikarhêner digire, rastbûn û yekbûna pêkhateyên ku têne barkirin piştrast dike.
- Girêdana çavkaniyên kontrolkirî bi tomarên TPM PCR, ji hêla xwedan ve têne veqetandin.
- Hêza pêş-hesabkirina nirxên PCR-ê li ser bingeha kernel, initrd, veavakirin û nasnameya pergala herêmî ya ku di dema bootê de hatî bikar anîn.
- Parastina li dijî êrişên paşvegerê yên ku bi vegerandina guhertoyek xedar a berê ya pergalê ve girêdayî ye.
- Hêsan bikin û pêbaweriya nûvekirinan zêde bikin.
- Piştgiriya ji bo nûvekirinên OS-ê yên ku ji nû ve serîlêdan an peydakirina herêmî ya çavkaniyên TPM-parastî ne hewce ne.
- Pergal ji bo pejirandina ji dûr ve amade ye ku rastdariya OS û mîhengên barkirî piştrast bike.
- Kapasîteya girêdana daneyên hesas bi hin qonaxên bootkirinê re, mînakî, derxistina bişkojkên şîfrekirinê ji bo pergala pelê root ji TPM.
- Pêşkêşkirina pêvajoyek ewle, otomatîk û bê bikarhêner ji bo vekirina bişkojan ji bo deşîfrekirina ajokerek dabeşkirina root.
- Bikaranîna çîpên ku taybetmendiya TPM 2.0 piştgirî dikin, bi şiyana vegerandina pergalên bêyî TPM.
Source: opennet.ru
