Lennart Poettering propositum edidit ut processus cothurnorum pro Linux distributionum moderetur, intendit ad solvendas quaestiones exsistentes et simplicem ordinationem cuiusdam tabernus plenae verificatae, quae confirmat fidem nuclei et ambitus systematis subiectae. Mutationes, quae ad novam architecturam efficiendam requiruntur, iam in codice basis systematis includuntur et afficiunt partes ut systemd-stub, mensura systemd, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase et systemd-cres.
Propositae mutationes decoquunt ad creationem unius imaginis universalis UKI (Unified Kernel Image), coniungendo imaginem nuclei Linux, tracto ad onerandum nucleum ab UEFI (UEFI stipulas tabernus) et ambitus systematis initrdis in memoriam onustis, adhibitis ad initialization initialis in scaena ante radicem FS ascendentem. Instead of initrd disk image, tota ratio in UKI sarcinari potest, quae te permittit ut ambitus systematis in RAM plenissime verificatos creare sinat. Imago UKI formata est ut documentum exsecutabile in PE forma, quod onerari non potest non solum praedones traditis utens, sed protinus a UEFI firmware appellari potest.
Facultas ab UEFI vocare te permittit ut integritatis signaturae digitalis reprimatur quae non solum nucleum tegit, sed etiam contenta initrd. Eodem tempore subsidium vocationis e praedones traditis permittit te talem notam habere ut traditio plurium versionum nuclei et automatice revolvatur ad nucleum laborantem si problemata deteguntur cum novo nucleo post inauguratum renovationem.
In praesenti, in plurimis distributionibus Linux, processus initialization utitur catena "firmware β digitally signatus Microsoft shim iacuit β GRUB tabernus oneratus digitally signavit distributione β Linux nucleus digitally signatus β initrd environment β radix FS". Defectus initrd verificationis in traditionalibus distributionibus problemata securitatis creat, quia, inter alia, claves in hoc ambitu ad decryptas systematis fasciculi radicem retinentur.
Verificatio imaginis initrdis non sustinetur quia hic fasciculus generatur in systemate locali utentis et certificari non potest cum subscriptione digitalis distributionis ornamentum, quod vehementer implicat ordinationem verificationis cum modo SecureBoot utens (ad verificandum initrd, in. user indiget suas claves generare et eas in firmware UEFI onerare). Praeterea ordo tabernus hodierna non patitur informationis usum e TPM PCR (Configurationis Register Platform) registra ad integritatem spatii usoris temperare praeter shim, vermiculum et nucleos. Inter quaestiones exsistentes, intricata adaequationis praedones et non posse restringere accessum ad claves in TPM pro antiquioribus versionibus OS, quae inutiles factae sunt, cum renovatione inaugurata sunt, memorantur.
Praecipua proposita inducendi architecturae loading novae sunt:
- Processus tabernus plene certificatus providens spatium usoris a firmware palmi, confirmans validitatem et integritatem partium profuerit.
- Vinculum moderata facultates ad TPM PCR registra, a possessore separata.
- Facultas pre-calculandi PC valores in nucleo, initrd, configuratione ac systemate locali ID adhibito in tabernus.
- Tutela contra impetus reverti impetus consociata cum revolutione ad versionem vulnerabilem priorem systematis.
- Simpliciorem et augendam fidem updates.
- Auxilia pro OS updates quae re-applicationem vel provisionem loci tutandi facultates non requirunt.
- Ratio certificationis remota parata est ad confirmandam rectitudinem onerum OS et occasus.
- Facultas applicandi notitias sensitivas quibusdam scenis tabernus, exempli gratia, claves encryptionis extrahendi ad systema fasciculi radicis e TPM.
- Securam, automaticam et liberum processum usoris praebens ad claues reserandas ad decryptas radicem agendam.
- Usus xxxiii quae speciem TPM 2.0 sustinent, cum facultate ad systemata sine TPM reverti.
Source: opennet.ru