Lennart Poettering telah menerbitkan cadangan untuk memodenkan proses but untuk pengedaran Linux, bertujuan untuk menyelesaikan masalah sedia ada dan memudahkan organisasi but disahkan penuh yang mengesahkan kebolehpercayaan kernel dan persekitaran sistem asas. Perubahan yang diperlukan untuk melaksanakan seni bina baharu telah pun disertakan dalam pangkalan kod systemd dan mempengaruhi komponen seperti systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase dan systemd-creds.
Perubahan yang dicadangkan bermuara kepada penciptaan imej universal tunggal UKI (Imej Kernel Bersepadu), menggabungkan imej kernel Linux, pengendali untuk memuatkan kernel daripada UEFI (stub but UEFI) dan persekitaran sistem initrd yang dimuatkan ke dalam memori, digunakan untuk permulaan awal pada peringkat sebelum memasang FS akar. Daripada imej cakera RAM initrd, keseluruhan sistem boleh dibungkus dalam UKI, yang membolehkan anda mencipta persekitaran sistem yang disahkan sepenuhnya dimuatkan ke dalam RAM. Imej UKI diformatkan sebagai fail boleh laku dalam format PE, yang boleh dimuatkan bukan sahaja menggunakan pemuat but tradisional, tetapi boleh dipanggil terus daripada perisian tegar UEFI.
Keupayaan untuk membuat panggilan daripada UEFI membolehkan anda menggunakan semakan integriti tandatangan digital yang meliputi bukan sahaja kernel, tetapi juga kandungan initrd. Pada masa yang sama, sokongan untuk memanggil daripada pemuat but tradisional membolehkan anda mengekalkan ciri seperti penghantaran beberapa versi kernel dan rollback automatik ke kernel yang berfungsi jika masalah dikesan dengan kernel baharu selepas memasang kemas kini.
Pada masa ini, dalam kebanyakan pengedaran Linux, proses permulaan menggunakan rantaian "perisian tegar β lapisan shim Microsoft yang ditandatangani secara digital β pemuat but GRUB yang ditandatangani secara digital oleh pengedaran β kernel Linux yang ditandatangani secara digital β persekitaran initrd tidak ditandatangani β root FS." Kekurangan pengesahan initrd dalam pengedaran tradisional menimbulkan masalah keselamatan, kerana, antara lain, dalam persekitaran ini kunci untuk menyahsulit sistem fail akar diambil semula.
Pengesahan imej initrd tidak disokong kerana fail ini dijana pada sistem setempat pengguna dan tidak boleh disahkan dengan tandatangan digital kit pengedaran, yang sangat merumitkan organisasi pengesahan apabila menggunakan mod SecureBoot (untuk mengesahkan initrd, pengguna perlu menjana kunci mereka sendiri dan memuatkannya ke dalam perisian tegar UEFI). Selain itu, organisasi but semasa tidak membenarkan penggunaan maklumat daripada daftar TPM PCR (Platform Configuration Register) untuk mengawal integriti komponen ruang pengguna selain daripada shim, grub dan kernel. Antara masalah sedia ada, kerumitan mengemas kini pemuat but dan ketidakupayaan untuk menyekat akses kepada kunci dalam TPM untuk versi lama OS yang menjadi tidak relevan selepas memasang kemas kini juga disebut.
Matlamat utama memperkenalkan seni bina pemuatan baharu ialah:
- Menyediakan proses but yang disahkan sepenuhnya yang merangkumi daripada perisian tegar ke ruang pengguna, mengesahkan kesahihan dan integriti komponen yang dimuatkan.
- Memautkan sumber terkawal kepada daftar PCR TPM, dipisahkan oleh pemilik.
- Keupayaan untuk pra-kira nilai PCR berdasarkan kernel, initrd, konfigurasi dan ID sistem setempat yang digunakan semasa but.
- Perlindungan terhadap serangan balik yang dikaitkan dengan pengembalian kepada versi sistem yang terdedah sebelumnya.
- Permudahkan dan tingkatkan kebolehpercayaan kemas kini.
- Sokongan untuk kemas kini OS yang tidak memerlukan permohonan semula atau peruntukan tempatan sumber yang dilindungi TPM.
- Sistem sedia untuk pensijilan jauh untuk mengesahkan ketepatan OS dan tetapan yang dimuatkan.
- Keupayaan untuk melampirkan data sensitif pada peringkat but tertentu, contohnya, mengekstrak kunci penyulitan untuk sistem fail akar daripada TPM.
- Menyediakan proses yang selamat, automatik dan bebas pengguna untuk membuka kunci untuk menyahsulit pemacu partition root.
- Penggunaan cip yang menyokong spesifikasi TPM 2.0, dengan keupayaan untuk melancarkan semula ke sistem tanpa TPM.
Sumber: opennet.ru