Lennart Poettering telah menerbitkan cadangan untuk memodenkan proses but. Linux-pengagihan, bertujuan untuk menangani isu sedia ada dan memudahkan pengaturan proses but yang disahkan sepenuhnya yang mengesahkan kesahihan kernel dan persekitaran sistem yang mendasari. Perubahan yang diperlukan untuk melaksanakan seni bina baharu telah dimasukkan ke dalam pangkalan kod systemd dan mempengaruhi komponen seperti systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase dan systemd-creds.
Perubahan yang dicadangkan bermuara kepada penciptaan imej universal tunggal UKI (Unified Kernel Image), yang menggabungkan imej kernel Linux, pengendali untuk memuatkan kernel daripada UEFI (stub but UEFI), dan persekitaran sistem initrd yang dimuatkan ke dalam memori, digunakan untuk permulaan sebelum memasang sistem fail root. Daripada imej cakera RAM initrd, keseluruhan sistem boleh dipaketkan ke dalam UKI, membolehkan penciptaan persekitaran sistem yang disahkan sepenuhnya dimuatkan ke dalam RAM. Imej UKI dibungkus sebagai fail boleh laku dalam format PE, yang boleh dimuatkan bukan sahaja oleh pemuat but tradisional tetapi juga terus daripada firmware UEFI.
Keupayaan untuk memanggil daripada UEFI membolehkan integriti tandatangan digital dan pengesahan kesahihan, meliputi bukan sahaja kernel tetapi juga kandungan initrd. Sokongan untuk pemanggilan daripada pemuat but tradisional juga mengekalkan ciri seperti penyediaan berbilang versi kernel dan rollback automatik kepada kernel yang berfungsi jika isu dikesan dengan kernel baharu selepas memasang kemas kini.
Pada masa ini, kebanyakan pengedaran Linux Proses permulaan menggunakan rantaian berikut: firmware → lapisan shim yang diperakui dengan tandatangan digital Microsoft → bootloader GRUB yang diperakui dengan tandatangan digital pengedaran → kernel yang diperakui dengan tandatangan digital pengedaran Linux → persekitaran initrd yang tidak disahkan → sistem fail root." Kekurangan pengesahan initrd dalam pengedaran tradisional menimbulkan masalah keselamatan, kerana, antara lain, persekitaran ini digunakan untuk mengekstrak kunci bagi menyahsulit sistem fail root.
Pengesahan imej initrd tidak disokong kerana fail ini dijana pada sistem setempat pengguna dan tidak boleh ditandatangani secara digital oleh pengedaran. Ini sangat merumitkan pengesahan apabila menggunakan mod SecureBoot (untuk mengesahkan initrd, pengguna mesti menjana kunci mereka sendiri dan memuatkannya ke dalam perisian tegar UEFI). Tambahan pula, organisasi but semasa tidak membenarkan penggunaan maklumat daripada TPM PCR (Daftar Konfigurasi Platform) untuk memantau integriti komponen ruang pengguna selain daripada shim, grub dan kernel. Isu lain yang disebut termasuk kesukaran mengemas kini pemuat but dan ketidakupayaan untuk menyekat akses kepada kunci TPM untuk versi OS lama yang telah menjadi usang selepas memasang kemas kini.
Matlamat utama untuk melaksanakan seni bina but baharu ialah:
- Menyediakan proses but yang disahkan sepenuhnya, meliputi semua peringkat daripada perisian tegar ke ruang pengguna, dan mengesahkan kesahihan dan integriti komponen yang dibut.
- Mengikat sumber terkawal kepada daftar PCR TPM dengan pembahagian mengikut pemilik.
- Keupayaan untuk pra-mengira nilai PCR berdasarkan kernel, initrd, konfigurasi, dan pengecam sistem setempat yang digunakan semasa but.
- Perlindungan terhadap serangan balik, yang melibatkan kembali ke versi sistem yang terdedah sebelumnya.
- Memudahkan dan meningkatkan kebolehpercayaan kemas kini.
- Sokongan untuk kemas kini OS yang tidak memerlukan permohonan semula atau peruntukan tempatan sumber yang dilindungi TPM.
- Sistem sedia untuk pensijilan jauh untuk mengesahkan ketepatan OS dan tetapan boleh boot.
- Keupayaan untuk melampirkan data sensitif pada peringkat but tertentu, seperti mengekstrak kunci penyulitan untuk sistem fail akar daripada TPM.
- Menyediakan proses yang selamat, automatik dan tanpa pengguna untuk membuka kunci untuk menyahsulit pemacu dengan partition akar.
- Penggunaan cip yang menyokong spesifikasi TPM 2.0, dengan keupayaan untuk melancarkan semula ke sistem tanpa TPM.
Sumber: opennet.ru
