Lennart Poettering ayaa daabacday soo jeedin lagu casriyeynayo habka boot-ka ee qaybinta Linux, loogu talagalay in lagu xalliyo dhibaatooyinka jira iyo fududaynta abaabulka boot la xaqiijiyay oo dhammaystiran, iyada oo xaqiijinaysa xaqiiqada kernel-ka iyo deegaanka nidaamka hoose. Isbeddellada loo baahan yahay si loo hirgeliyo qaab-dhismeedka cusub ayaa mar hore lagu daray nidaamka codebase oo saameeya qaybaha sida systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, iyo systemd-creds.
Isbedelada la soo jeediyay ayaa lagu yareeyay abuurista hal muuqaal oo caalami ah oo UCI ah (Unified Kernel Image) kaas oo isku daraya sawirka kernel Linux, maamulaha ka soo raritaanka kernel-ka UEFI (UEFI boot stub) iyo nidaamka initrd ee ku raran xusuusta, loo isticmaalo bilawga bilawga ah ee marxaladda ka hor inta aan la saarin xididka FS. Halkii laga heli lahaa sawirka diskka initrd RAM, nidaamka oo dhan waxaa lagu soo xiri karaa gudaha UKI, taasoo u oggolaanaysa abuurista jawi nidaam si buuxda loo xaqiijiyay oo lagu shubay RAM. UKI-image waxaa lagu sameeyay qaab faylka la fulin karo ee qaabka PE, kaas oo aan lagu shubin karin oo keliya isticmaalka bootloaders-dhaqameedka, laakiin si toos ah ayaa looga yeeraa firmware UEFI.
Awoodda inaad ka wacdo UEFI waxay kuu ogolaanaysaa inaad isticmaasho saxeexa dhijitaalka ah ee daacadnimada iyo hubinta ansaxnimada kaas oo daboolaya kaliya maaha kernel-ka, laakiin sidoo kale waxa ku jira initrd. Isla mar ahaantaana, taageerada wicitaanka bootloaders-dhaqameedku waxay kuu oggolaaneysaa inaad badbaadiso sifooyinkaas sida gaarsiinta noocyo badan oo kernel ah iyo dib-u-soo-celinta tooska ah ee kernel-ka shaqada haddii ay dhacdo dhibaatooyin la xiriira kernel-ka cusub la ogaado ka dib rakibidda cusboonaysiinta.
Waqtigan xaadirka ah, inta badan qaybinta Linux waxay isticmaashaa silsiladda "firmware β si dhijitaal ah loogu saxeexay lakabka Microsoft shim β qaybinta dhijitaalka ah ee GRUB bootloader β qaybinta dhijitaalka ah ee Linux kernel β jawiga gudaha ee aan saxeexin β xidid FS" habka bilowga. Xaqiijinta initrd la'aanta ee qaybinta dhaqameed waxay abuurtaa dhibaatooyin amni, tan iyo, waxyaabo kale, deegaankani wuxuu soosaaraa furayaasha si loo furfuro xididka FS.
Xaqiijinta sawirka initrd lama taageero, maadaama faylkan lagu soo saaray nidaamka deegaanka ee isticmaalaha oo laguma xaqiijin karo saxeexa dhijitaalka ah ee qaybinta, taas oo si weyn u adkeynaysa abaabulka xaqiijinta marka la isticmaalayo habka SecureBoot (si loo xaqiijiyo initrd, isticmaaluhu wuxuu u baahan yahay si uu u soo saaro furihiisa oo uu ugu shubo UEFI firmware). Intaa waxaa dheer, ururka kabaha ee jira ma ogola isticmaalka macluumaadka TPM PCR (Diiwaanka Habaynta Platform) si loo xakameeyo daacadnimada qaybaha meel-isticmaalka oo aan ahayn shim, grub, iyo kernel. Dhibaatooyinka jira waxaa ka mid ah, dhibka cusboonaysiinta bootloader-ka iyo awood la'aanta in la xaddido gelitaanka furayaasha TPM ee noocyadii hore ee OS ee noqday kuwo aan khusayn ka dib rakibidda cusboonaysiinta ayaa sidoo kale la sheegay.
Himilooyinka ugu muhiimsan ee hirgelinta naqshadda kabaha cusub waa:
- Bixinta habka soo dejinta si buuxda loo xaqiijiyay, oo daboolaya dhammaan marxaladaha laga bilaabo firmware ilaa booska isticmaalaha, iyo xaqiijinta ansaxnimada iyo daacadnimada qaybaha la soo dejiyay.
- Ku-xidhka agabka la kantaroolo ee TPM PCR waxay diwaangelinaysaa qaybinta mulkiilayaasha.
- Awoodda lagu qiyaasi karo qiyamka PCR ee ku saleysan boot kernel, initrd, qaabeynta, iyo aqoonsiga nidaamka deegaanka.
- Ka-hortagga weerarrada dib-u-celinta ee la xidhiidha dib-u-celinta qaabkii hore ee nugul ee nidaamka.
- Fududeeya oo wanaaji isku halaynta wararka
- Taageerada cusboonaysiinta OS ee aan u baahnayn dib-u-codsiga ama bixinta maxalli ah ee TPM-la ilaaliyo.
- U diyaargarowga nidaamka shahaado fog si loo xaqiijiyo saxnaanta OS bootable iyo settings.
- Awoodda lagu lifaaqo xogta xasaasiga ah ee marxaladaha kabaha qaarkood, tusaale ahaan, soo saarista furayaasha sirta ah ee xididka FS ee TPM.
- Bixi hab aamin ah, toos ah, iyo hab aamusnaan ah oo lagu furayo furayaasha si loo furfuro darawal leh qayb xidid.
- Isticmaalka chips-ka taageera qeexitaanka TPM 2.0, oo leh awoodda dib ugu noqoshada nidaamyada TPM la'aan.
Source: opennet.ru