Lennart Pottering هڪ تجويز شايع ڪئي آهي لينڪس جي تقسيم لاء بوٽ جي عمل کي جديد ڪرڻ، جنهن جو مقصد موجوده مسئلن کي حل ڪرڻ ۽ هڪ مڪمل تصديق ٿيل بوٽ جي تنظيم کي آسان بڻائي ٿو جيڪو ڪنييل ۽ بنيادي سسٽم ماحول جي اعتبار جي تصديق ڪري ٿو. نئين آرڪيٽيڪچر کي لاڳو ڪرڻ لاءِ گهربل تبديليون اڳ ۾ ئي سسٽمڊ ڪوڊ بيس ۾ شامل ڪيون ويون آهن ۽ حصن کي متاثر ڪن ٿيون جهڙوڪ systemd-stub، systemd-measure، systemd-cryptenroll، systemd-cryptsetup، systemd-pcrphase ۽ systemd-creds.
تجويز ڪيل تبديليون ھڪڙي يونيورسل تصوير UKI (يونيفائيڊ ڪرنل تصويري) جي ٺاھڻ لاءِ ھيٺ آھن، لينڪس ڪرنل تصوير کي گڏ ڪندي، يو اي ايف آئي (UEFI بوٽ اسٽب) مان ڪرنل لوڊ ڪرڻ لاءِ ھينڊلر ۽ ميموري ۾ لوڊ ٿيل initrd سسٽم ماحول، لاءِ استعمال ڪيو ويو. روٽ FS کي چڙهڻ کان اڳ اسٽيج تي شروعاتي شروعات. هڪ initrd RAM ڊسڪ تصوير جي بدران، سڄو سسٽم UKI ۾ پيڪيج ڪري سگهجي ٿو، جيڪو توهان کي مڪمل طور تي تصديق ٿيل سسٽم ماحول ٺاهڻ جي اجازت ڏئي ٿو رام ۾ لوڊ ٿيل. UKI تصوير کي PE فارميٽ ۾ هڪ قابل عمل فائل جي طور تي فارميٽ ڪيو ويو آهي، جيڪو نه صرف روايتي بوٽ لوڊرز استعمال ڪندي لوڊ ڪري سگهجي ٿو، پر سڌو سنئون UEFI فرمائيندڙ مان سڏي سگهجي ٿو.
UEFI کان ڪال ڪرڻ جي صلاحيت توهان کي هڪ ڊجيٽل دستخط سالميت چيڪ استعمال ڪرڻ جي اجازت ڏئي ٿي جيڪا نه رڳو ڪنيل کي ڍڪي ٿي، پر initrd جي مواد کي پڻ. ساڳي ئي وقت، روايتي بوٽ لوڊرز کان ڪال ڪرڻ لاءِ سپورٽ توهان کي اهڙين خصوصيتن کي برقرار رکڻ جي اجازت ڏئي ٿي جيئن ڪنيل جي ڪيترن ئي ورزن جي ترسيل ۽ ڪم ڪندڙ ڪرنل ڏانهن خودڪار رول بيڪ جيڪڏهن تازه ڪاري انسٽال ڪرڻ کان پوءِ نئين ڪرنل سان مسئلا معلوم ٿين ٿا.
في الحال، اڪثر لينڪس ڊسٽريبيوشنز ۾، شروعات جو عمل زنجير استعمال ڪري ٿو "فرم ويئر → ڊجيٽل طور تي دستخط ٿيل Microsoft شيم پرت → GRUB بوٽ لوڊر ڊجيٽل طور تي دستخط ٿيل تقسيم طرفان → ڊجيٽل طور تي دستخط ٿيل لينڪس ڪنيل → غير دستخط ٿيل initrd ماحول → روٽ FS." روايتي تقسيم ۾ initrd جي تصديق جي کوٽ حفاظتي مسئلا پيدا ڪري ٿي، ڇاڪاڻ ته، ٻين شين جي وچ ۾، هن ماحول ۾ روٽ فائل سسٽم کي ختم ڪرڻ لاء ڪنجيون ٻيهر حاصل ڪيون وينديون آهن.
initrd تصوير جي تصديق جي حمايت نه ڪئي وئي آهي ڇاڪاڻ ته هي فائل صارف جي مقامي سسٽم تي ٺاهي وئي آهي ۽ تقسيم کٽ جي ڊجيٽل دستخط سان تصديق نه ٿي ڪري سگهجي، جيڪا تصديق جي تنظيم کي تمام گهڻو پيچيدگي ڪري ٿي جڏهن محفوظ بوٽ موڊ استعمال ڪندي (initrd جي تصديق ڪرڻ لاء، صارف کي پنهنجون چاٻيون ٺاهڻ جي ضرورت آهي ۽ انهن کي UEFI فرم ویئر ۾ لوڊ ڪرڻ جي ضرورت آهي). ان کان علاوه، موجوده بوٽ آرگنائيزيشن TPM PCR (پليٽ فارم ڪنفيگريشن رجسٽر) رجسٽر مان معلومات استعمال ڪرڻ جي اجازت نه ڏئي ٿي ته صارف جي خلائي اجزاء جي سالميت کي ڪنٽرول ڪرڻ لاءِ شيم، گرب ۽ ڪرنل کان سواءِ. موجوده مسئلن جي وچ ۾، بوٽ لوڊر کي اپڊيٽ ڪرڻ جي پيچيدگي ۽ او ايس جي پراڻن ورزن لاء TPM ۾ چابين تائين رسائي کي محدود ڪرڻ جي قابليت جيڪي تازه ڪاري کي نصب ڪرڻ کان پوء غير مناسب ٿي ويا آهن، پڻ ذڪر ڪيو ويو آهي.
نئين لوڊشيڊنگ آرڪيٽيڪچر کي متعارف ڪرائڻ جا بنيادي مقصد هي آهن:
- مڪمل طور تي تصديق ٿيل بوٽ جي عمل کي مهيا ڪرڻ جيڪا فرم ویئر کان صارف جي جاء تي پکڙيل آهي، اجزاء جي صحيحيت ۽ سالميت جي تصديق ڪري ٿي.
- ڪنٽرول ٿيل وسيلن کي TPM PCR رجسٽرن سان ڳنڍڻ، مالڪ طرفان الڳ ٿيل.
- پي سي آر جي قدرن جي اڳڪٿي ڪرڻ جي صلاحيت ڪرنيل، initrd، ترتيب ۽ مقامي سسٽم ID جي بنياد تي بوٽ دوران استعمال ٿيل.
- سسٽم جي پوئين ڪمزور ورزن ڏانهن واپس رولنگ سان لاڳاپيل رول بيڪ حملن جي خلاف تحفظ.
- تازه ڪاري جي اعتبار کي آسان ۽ وڌايو.
- OS اپڊيٽس لاءِ سپورٽ جيڪي ٻيهر ايپليڪيشن يا TPM-محفوظ وسيلن جي مقامي روزي جي ضرورت نه ڪندا آهن.
- سسٽم ريموٽ سرٽيفڪيشن لاءِ تيار آهي لوڊ ٿيل OS ۽ سيٽنگن جي درستي جي تصديق ڪرڻ لاءِ.
- حساس ڊيٽا کي ڪجهه بوٽ مرحلن سان ڳنڍڻ جي صلاحيت، مثال طور، TPM مان روٽ فائل سسٽم لاء انڪرپشن ڪيز ڪڍڻ.
- روٽ ورهاڱي واري ڊرائيو کي ختم ڪرڻ لاءِ چاٻين کي کولڻ لاءِ محفوظ، خودڪار، ۽ صارف کان پاڪ عمل مهيا ڪرڻ.
- چپس جو استعمال جيڪي TPM 2.0 وضاحتن کي سپورٽ ڪن ٿا، TPM کان سواءِ سسٽم ڏانهن موٽڻ جي صلاحيت سان.
جو ذريعو: opennet.ru