Леннарт Поеттеринг је објавио предлог за модернизацију процеса покретања за Линук дистрибуције, са циљем решавања постојећих проблема и поједностављења организације потпуно верификованог покретања који потврђује поузданост кернела и основног системског окружења. Промене потребне за имплементацију нове архитектуре су већ укључене у системску базу кода и утичу на компоненте као што су системд-стуб, системд-меасуре, системд-цриптенролл, системд-цриптсетуп, системд-пцрпхасе и системд-црдс.
Предложене промене се своде на креирање јединствене универзалне слике УКИ (Унифиед Кернел Имаге), која комбинује слику Линук кернела, руковалац за учитавање кернела из УЕФИ (УЕФИ боот стуб) и инитрд системско окружење учитано у меморију, које се користи за почетна иницијализација у фази пре монтирања основног ФС-а. Уместо слике инитрд РАМ диска, цео систем се може упаковати у УКИ, што вам омогућава да креирате потпуно верификована системска окружења учитана у РАМ. УКИ слика је форматирана као извршна датотека у ПЕ формату, која се може учитати не само помоћу традиционалних покретача, већ се може позвати директно из УЕФИ фирмвера.
Могућност позивања из УЕФИ-ја вам омогућава да користите проверу интегритета дигиталног потписа која покрива не само језгро, већ и садржај инитрд-а. Истовремено, подршка за позивање из традиционалних покретача омогућава вам да задржите функције као што су испорука неколико верзија кернела и аутоматско враћање на радно језгро ако се открију проблеми са новим кернелом након инсталирања ажурирања.
Тренутно, у већини Линук дистрибуција, процес иницијализације користи ланац „фирмвер → дигитално потписан Мицрософт схим слој → ГРУБ покретачки програм дигитално потписан од стране дистрибуције → дигитално потписано језгро Линука → непотписано инитрд окружење → роот ФС.“ Недостатак инитрд верификације у традиционалним дистрибуцијама ствара безбедносне проблеме, пошто се, између осталог, у овом окружењу преузимају кључеви за дешифровање основног система датотека.
Верификација инитрд слике није подржана јер се ова датотека генерише на локалном систему корисника и не може бити сертификована дигиталним потписом комплета за дистрибуцију, што у великој мери компликује организацију верификације при коришћењу режима СецуреБоот (да би се проверио инитрд, корисник треба да генерише сопствене кључеве и учита их у УЕФИ фирмвер). Поред тога, тренутна организација покретања не дозвољава коришћење информација из ТПМ ПЦР (Регистар конфигурације платформе) регистара за контролу интегритета компоненти корисничког простора, осим схим-а, груб-а и кернела. Међу постојећим проблемима, помиње се и сложеност ажурирања покретачког програма и немогућност ограничавања приступа кључевима у ТПМ-у за старије верзије ОС-а које су постале неважне након инсталирања ажурирања.
Главни циљеви увођења нове архитектуре учитавања су:
- Обезбеђивање потпуно верификованог процеса покретања који се протеже од фирмвера до корисничког простора, потврђујући валидност и интегритет компоненти које се дижу.
- Повезивање контролисаних ресурса са ТПМ ПЦР регистрима, одвојеним по власнику.
- Могућност претходног израчунавања ПЦР вредности на основу кернела, инитрд-а, конфигурације и локалног ИД система који се користи током покретања.
- Заштита од напада враћања у претходно стање повезаних са враћањем на претходну рањиву верзију система.
- Поједноставите и повећајте поузданост ажурирања.
- Подршка за ажурирања ОС-а која не захтевају поновну примену или локално обезбеђивање ресурса заштићених ТПМ-ом.
- Систем је спреман за даљинску сертификацију да потврди исправност учитаног ОС-а и подешавања.
- Могућност прилагања осетљивих података одређеним фазама покретања, на пример, издвајање кључева за шифровање за основни систем датотека из ТПМ-а.
- Обезбеђивање безбедног, аутоматског процеса без корисника за откључавање кључева за дешифровање диска роот партиције.
- Коришћење чипова који подржавају ТПМ 2.0 спецификацију, са могућношћу враћања на системе без ТПМ-а.
Извор: опеннет.ру