Lennart Poettering ji bo nûjenkirina pêvajoya bootê ya ji bo belavkirinên Linux-ê pêşniyarek weşandiye, bi mebesta çareserkirina pirsgirêkên heyî û hêsankirina rêxistina bootek tam verastkirî ku pêbaweriya kernel û hawîrdora pergalê ya bingehîn piştrast dike. Guhertinên ku ji bo pêkanîna mîmariya nû hewce ne jixwe di binyada koda systemd de cih digirin û bandorê li pêkhateyên wekî systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase û systemd-creds dikin.
Guhertinên pêşniyarkirî bi afirandina wêneyek gerdûnî ya yekbûyî UKI (Wêneya Kernelê ya Yekgirtî), berhevkirina wêneya kernel Linux, rêvekerek ji bo barkirina kernelê ji UEFI (UEFI boot stub) û hawîrdora pergala initrd ku di bîranînê de hatî barkirin, tê bikar anîn. destpêkirina destpêkê di qonaxê de berî ku root FS-ê saz bike. Li şûna wêneyek dîska RAM-ê ya initrd, hemî pergal dikare di UKI de were pak kirin, ku dihêle hûn jîngehên pergalê bi tevahî verastkirî yên ku di RAM-ê de hatine barkirin biafirînin. Wêneyê UKI wekî pelek îcrakar di formata PE de tê format kirin, ku dikare ne tenê bi karanîna bootloaders kevneşopî were barkirin, lê dikare rasterast ji firmware UEFI were gazî kirin.
Qabiliyeta gazîkirina ji UEFI dihêle hûn kontrolek yekbûna nîşana dîjîtal bikar bînin ku ne tenê kernel, lê di heman demê de naveroka initrd-ê jî vedigire. Di heman demê de, piştgirî ji bo bangkirina ji bootloaderên kevneşopî dihêle hûn taybetmendiyên wekî radestkirina çend guhertoyên kernelê û vegerandina otomatîkî ji kernelek xebitandinê re bihêlin heke piştî sazkirina nûvekirinê pirsgirêk bi kernelê nû werin dîtin.
Heya nuha, di piraniya belavkirinên Linux de, pêvajoya destpêkirinê zincîra "firmware → qatê şim Microsoft-ê bi dîjîtal → barkerê bootê GRUB bi dîjîtal ji hêla belavkirinê ve hatî îmzekirin → kernel Linux-ê bi dîjîtal îmzekirî → hawîrdora initrd ya ne-îmzekirî → root FS" bikar tîne. Kêmasiya verastkirina initrd di belavkirinên kevneşopî de pirsgirêkên ewlehiyê diafirîne, ji ber ku, di nav tiştên din de, di vê hawîrdorê de mifteyên ji bo deşîfrekirina pergala pelê root têne girtin.
Verastkirina wêneya initrd nayê piştgirî kirin ji ber ku ev pel li ser pergala herêmî ya bikarhêner hatî çêkirin û nikare bi îmzeyek dîjîtal a kîtê belavkirinê were pejirandin, ku ev yek rêxistina verastkirinê dema ku moda SecureBoot bikar tîne pir tevlihev dike (ji bo verastkirina initrd, pêdivî ye ku bikarhêner bişkojkên xwe biafirîne û wan di firmware UEFI de bar bike). Wekî din, rêxistina bootê ya heyî rê nade ku agahdariya ji tomarên TPM PCR (Qeyda Vesazkirina Platformê) bikar bîne da ku yekparebûna pêkhateyên cîhê bikarhêner ji bilî şim, grub û kernelê kontrol bike. Di nav pirsgirêkên heyî de, tevliheviya nûvekirina bootloader û nebûna sînordarkirina gihîştina bişkojkên di TPM-ê de ji bo guhertoyên kevn ên OS-ê yên ku piştî sazkirina nûvekirinê ne girîng bûne jî têne destnîşan kirin.
Armancên sereke yên danasîna mîmariya barkirina nû ev in:
- Pêşkêşkirina pêvajoyek bootê ya bi tevahî verastkirî ya ku ji firmware heya cîhê bikarhêner digire, rastbûn û yekbûna pêkhateyên ku têne barkirin piştrast dike.
- Girêdana çavkaniyên kontrolkirî bi tomarên TPM PCR, ji hêla xwedan ve têne veqetandin.
- Hêza pêş-hesabkirina nirxên PCR-ê li ser bingeha kernel, initrd, veavakirin û nasnameya pergala herêmî ya ku di dema bootê de hatî bikar anîn.
- Parastina li dijî êrişên paşvegerê yên ku bi vegerandina guhertoyek xedar a berê ya pergalê ve girêdayî ye.
- Hêsan bikin û pêbaweriya nûvekirinan zêde bikin.
- Piştgiriya ji bo nûvekirinên OS-ê yên ku ji nû ve serîlêdan an peydakirina herêmî ya çavkaniyên TPM-parastî ne hewce ne.
- Pergal ji bo pejirandina ji dûr ve amade ye ku rastdariya OS û mîhengên barkirî piştrast bike.
- Kapasîteya girêdana daneyên hesas bi hin qonaxên bootkirinê re, mînakî, derxistina bişkojkên şîfrekirinê ji bo pergala pelê root ji TPM.
- Pêşkêşkirina pêvajoyek ewle, otomatîk û bê bikarhêner ji bo vekirina bişkojan ji bo deşîfrekirina ajokerek dabeşkirina root.
- Bikaranîna çîpên ku taybetmendiya TPM 2.0 piştgirî dikin, bi şiyana vegerandina pergalên bêyî TPM.
Source: opennet.ru