Ленарт Петеринг објави предлог за модернизација на процесот на стартување. Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который может быть загружен не только при помощи традиционных загрузчиков, и напрямую вызван из прошивки UEFI.
Можноста за повикување од UEFI ви овозможува да користите проверка на интегритетот и валидноста на дигиталниот потпис што го опфаќа не само јадрото, туку и содржината на initrd. Во исто време, поддршката за повикување од традиционалните подигнувачи ви овозможува да зачувате функции како што се испорака на неколку верзии на кернелот и автоматско враќање на работен кернел во случај да се откријат проблеми со новото јадро по инсталирањето на ажурирањето.
В настоящее время в большинстве дистрибутивов Linux в процессе инициализации используется цепочка «прошивка → заверенная цифровой подписью Microsoft shim-прослойка → заверенный цифровой подписью дистрибутива загрузчик GRUB → заверенное цифровой подписью дистрибутива ядро Linux → не заверенное окружение initrd → корневая ФС». Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
Верификацијата на сликата на initrd не е поддржана, бидејќи оваа датотека е генерирана на локалниот систем на корисникот и не може да се потврди со дигитален потпис на дистрибуцијата, што во голема мера ја отежнува организацијата на верификацијата при користење на режимот SecureBoot (за да се потврди initrd, на корисникот му треба да ги генерира неговите клучеви и да ги вчита во фирмверот на UEFI). Дополнително, постоечката организација за подигање не дозволува користење на информации од регистрите TPM PCR (Platform Configuration Register) за контрола на интегритетот на компонентите на корисничкиот простор, освен shim, grub и кернелот. Меѓу постојните проблеми, се споменува и компликацијата на ажурирањето на подигнувачот и неможноста да се ограничи пристапот до клучевите во TPM за постарите верзии на ОС кои станале ирелевантни по инсталирањето на ажурирањето.
Главните цели на имплементација на новата архитектура за подигање се:
- Обезбедување на целосно потврден процес на преземање, покривајќи ги сите фази од фирмверот до корисничкиот простор и потврдувајќи ја валидноста и интегритетот на преземените компоненти.
- Поврзување на контролираните ресурси со TPM PCR регистрите со поделба по сопственици.
- Способност да се пресметуваат вредностите на PCR врз основа на подигање на јадрото, initrd, конфигурација и локалниот системски ID.
- Заштита од напади на враќање поврзани со враќање на претходната ранлива верзија на системот.
- Поедноставете ја и подобрете ја веродостојноста на ажурирањата.
- Поддршка за ажурирања на ОС кои не бараат повторно примена или локално обезбедување ресурси заштитени со TPM.
- Подготвеност на системот за далечинско сертификација за да се потврди исправноста на бутабилниот оперативен систем и поставките.
- Способност да се прикачат чувствителни податоци на одредени фази на подигање, на пример, извлекување клучеви за шифрирање за root FS од TPM.
- Обезбедете безбеден, автоматски и тивок процес за отклучување клучеви за дешифрирање на диск со root партиција.
- Употреба на чипови кои ја поддржуваат спецификацијата TPM 2.0, со можност за враќање на системи без TPM.
Извор: opennet.ru
