Lennart Poettering paskelbė pasiūlymą modernizuoti Linux platinimų įkrovos procesą, kuriuo siekiama išspręsti esamas problemas ir supaprastinti visiškai patikrintos įkrovos organizavimą, patvirtinantį branduolio ir pagrindinės sistemos aplinkos patikimumą. Pakeitimai, reikalingi naujai architektūrai įdiegti, jau įtraukti į systemd kodų bazę ir turi įtakos tokiems komponentams kaip systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ir systemd-creds.
Siūlomi pakeitimai susiveda į vieno universalaus atvaizdo UKI (Unified Kernel Image) sukūrimą, sujungiantį Linux branduolio atvaizdą, tvarkyklę, skirtą branduoliui įkelti iš UEFI (UEFI įkrovos stuburo) ir į atmintį įkeltą initrd sistemos aplinką, naudojamą pradinis inicijavimas etape prieš įdiegiant šakninę FS. Vietoj initrd RAM disko vaizdo, visa sistema gali būti supakuota į UKI, o tai leidžia sukurti visiškai patikrintas sistemos aplinkas, įkeltas į RAM. UKI vaizdas suformatuotas kaip vykdomasis failas PE formatu, kurį galima įkelti ne tik naudojant tradicinius įkrovos įkroviklius, bet ir iškviesti tiesiai iš UEFI programinės įrangos.
Galimybė skambinti iš UEFI leidžia naudoti skaitmeninio parašo vientisumo patikrą, kuri apima ne tik branduolį, bet ir initrd turinį. Tuo pačiu metu iškvietimo iš tradicinių įkrovos tvarkyklių palaikymas leidžia išlaikyti tokias funkcijas kaip kelių branduolio versijų pristatymas ir automatinis grąžinimas į veikiantį branduolį, jei įdiegus naujinimą aptinkamos naujojo branduolio problemos.
Šiuo metu daugumoje „Linux“ paskirstymų inicijavimo procese naudojama grandinė „firmware → skaitmeniniu būdu pasirašytas Microsoft shim sluoksnis → GRUB įkrovos įkroviklis, skaitmeniniu parašu paskirstymas → skaitmeniniu parašu pasirašytas Linux branduolys → nepasirašyta pradinė aplinka → šakninė FS. Initrd patikrinimo trūkumas tradiciniuose platinimuose sukuria saugumo problemų, nes, be kita ko, šioje aplinkoje yra gaunami šakninės failų sistemos iššifravimo raktai.
Initrd vaizdo patvirtinimas nepalaikomas, nes šis failas yra sugeneruotas vartotojo vietinėje sistemoje ir negali būti patvirtintas skaitmeniniu platinimo rinkinio parašu, o tai labai apsunkina tikrinimo organizavimą naudojant SecureBoot režimą (norint patikrinti initrd, vartotojas turi sugeneruoti savo raktus ir įkelti juos į UEFI programinę-aparatinę įrangą). Be to, dabartinė įkrovos organizacija neleidžia naudoti informacijos iš TPM PCR (Platformos konfigūracijos registro) registrų, kad būtų galima kontroliuoti kitų vartotojo erdvės komponentų, išskyrus tarpiklį, grub ir branduolį, vientisumą. Tarp esamų problemų taip pat minimas įkrovos įkrovos atnaujinimo sudėtingumas ir nesugebėjimas apriboti prieigos prie TPM raktų senesnėms OS versijoms, kurios po naujinimo įdiegimo tapo nebeaktualios.
Pagrindiniai naujos įkėlimo architektūros diegimo tikslai yra šie:
- Teikti visiškai patikrintą įkrovos procesą, apimantį nuo programinės aparatinės įrangos iki vartotojo erdvės, patvirtinantį paleidžiamų komponentų galiojimą ir vientisumą.
- Kontroliuojamų išteklių susiejimas su TPM PGR registrais, atskirtais savininko.
- Galimybė iš anksto apskaičiuoti PGR reikšmes pagal branduolį, initrd, konfigūraciją ir vietinės sistemos ID, naudojamą įkrovos metu.
- Apsauga nuo atšaukimo atakų, susijusių su grįžimu į ankstesnę pažeidžiamą sistemos versiją.
- Supaprastinkite ir padidinkite atnaujinimų patikimumą.
- OS naujinimų, kuriems nereikia iš naujo taikyti arba vietinio TPM apsaugotų išteklių aprūpinimo, palaikymas.
- Sistema paruošta nuotoliniam sertifikavimui, siekiant patvirtinti įkeltos OS ir nustatymų teisingumą.
- Galimybė pridėti neskelbtinus duomenis prie tam tikrų įkrovos etapų, pavyzdžiui, iš TPM išgauti šakninės failų sistemos šifravimo raktus.
- Teikti saugų, automatinį ir nenaudojamą raktų atrakinimo procesą, kad iššifruotų šakninio skaidinio diską.
- Lustų, palaikančių TPM 2.0 specifikaciją, naudojimas su galimybe grįžti į sistemas be TPM.
Šaltinis: opennet.ru