Леннарт Поттеринг жүктөө процессин модернизациялоо боюнча сунушун жарыялады. Linux-дистрибуциялар, учурдагы көйгөйлөрдү чечүүгө жана ядронун жана анын негизги система чөйрөсүнүн жарактуулугун тастыктаган толук текшерилген жүктөө процессин уюштурууну жөнөкөйлөштүрүүгө багытталган. Жаңы архитектураны ишке ашыруу үчүн талап кылынган өзгөртүүлөр systemd код базасына киргизилген жана systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase жана systemd-creds сыяктуу компоненттерге таасир этет.
Сунушталган өзгөртүүлөр ядро сүрөтүн бириктирген бирдиктүү универсалдуу UKI (Unified Cornel Image) сүрөтүн түзүүгө келип такалат. Linux, UEFIден ядрону жүктөөчү иштетүүчү (UEFI жүктөөчү булагынан) жана эс тутумга жүктөлгөн initrd система чөйрөсү, ал түпкү файл системасын орнотуудан мурун инициализациялоо үчүн колдонулат. initrd RAM диск сүрөтүнүн ордуна, бүтүндөй система UKIге пакеттелиши мүмкүн, бул RAMга жүктөлгөн толук текшерилген система чөйрөлөрүн түзүүгө мүмкүндүк берет. UKI сүрөтү PE форматындагы аткарылуучу файл катары пакеттелет, аны салттуу жүктөөчүлөр гана эмес, ошондой эле түз эле UEFI микропрограммасынан жүктөөгө болот.
UEFIден чалуу мүмкүнчүлүгү сизге ядрону гана эмес, ошондой эле initrd мазмунун камтыган санариптик кол тамганын бүтүндүгүн жана жарактуулугун текшерүүнү колдонууга мүмкүндүк берет. Ошол эле учурда салттуу жүктөөчүлөрдөн чалууну колдоо жаңыртуу орнотулгандан кийин жаңы ядродо көйгөйлөр аныкталган учурда ядронун бир нече версияларын жеткирүү жана жумушчу ядрого автоматтык түрдө кайра кайтаруу сыяктуу функцияларды сактоого мүмкүндүк берет.
Учурда көпчүлүк бөлүштүрүүлөр Linux Баштапкылоо процесси төмөнкү чынжырды колдонот: микропрограмма → Microsoft санариптик кол тамга менен сертификацияланган shim катмары → дистрибуциялык санариптик кол тамга менен сертификацияланган GRUB жүктөөчүсү → дистрибуциялык санариптик кол тамга менен сертификацияланган ядро Linux → текшерилбеген initrd чөйрөсү → түпкү файл системасы." Салттуу дистрибутивдерде initrd текшерүүсүнүн жоктугу коопсуздук маселелерин жаратат, анткени, башка нерселер менен катар, бул чөйрө түпкү файл системасын чечмелөө үчүн ачкычтарды алуу үчүн колдонулат.
Initrd сүрөтүн текшерүү колдоого алынбайт, анткени бул файл колдонуучунун локалдык системасында түзүлөт жана дистрибьютордун санариптик колтамгасы менен күбөлөндүрүлбөйт, бул SecureBoot режимин колдонууда текшерүүнү уюштурууну бир топ кыйындатат (initrd текшерүү үчүн колдонуучу керек анын ачкычтарын түзүү жана аларды UEFI микропрограммасына жүктөө үчүн). Кошумчалай кетсек, учурдагы жүктөө уюму TPM PCR (Платформа конфигурациясынын реестри) регистрлериндеги маалыматты shim, grub жана ядродон башка колдонуучу мейкиндик компоненттеринин бүтүндүгүн көзөмөлдөө үчүн колдонууга уруксат бербейт. Учурдагы көйгөйлөрдүн арасында жүктөгүчтү жаңыртуунун татаалдашы жана жаңыртуу орнотулгандан кийин маанисиз болуп калган ОСтун эски версиялары үчүн TPMдеги ачкычтарга кирүү мүмкүнчүлүгүн чектөө мүмкүн эместиги да айтылган.
Жаңы жүктөө архитектурасын ишке ашыруунун негизги максаттары:
- Толук текшерилген жүктөө процессин камсыз кылуу, микропрограммадан колдонуучу мейкиндигине чейинки бардык этаптарды камтыган жана жүктөлгөн компоненттердин жарактуулугун жана бүтүндүгүн тастыктоо.
- Башкарылуучу ресурстарды ээлери боюнча бөлүштүрүү менен TPM PCR регистрлерине байланыштыруу.
- Ядро жүктөө, initrd, конфигурация жана жергиликтүү тутум ID негизинде ПТР маанилерин алдын ала эсептөө мүмкүнчүлүгү.
- Системанын мурунку аялуу версиясына кайтуу менен байланышкан артка кайтаруу чабуулдарынан коргоо.
- Жаңыртуулардын ишенимдүүлүгүн жөнөкөйлөтүү жана жакшыртуу.
- TPM менен корголгон ресурстарды кайра колдонууну же жергиликтүү камсыздоону талап кылбаган ОС жаңыртууларын колдоо.
- Жүктөлүүчү OS жана орнотуулардын тууралыгын тастыктоо үчүн системанын алыстан сертификациялоого даярдыгы.
- Кээ бир жүктөө этаптарына купуя маалыматтарды тиркөө мүмкүнчүлүгү, мисалы, TPMден FS тамыры үчүн шифрлөө ачкычтарын алуу.
- Түпкү бөлүгү менен дисктин шифрин чечмелөө үчүн ачкычтарды ачуу үчүн коопсуз, автоматтык жана үнсүз процессти камсыз кылыңыз.
- TPM 2.0 спецификациясын колдогон микросхемалардын колдонулушу, TPMсиз системаларга кайтып келүү мүмкүнчүлүгү.
Source: opennet.ru
