Lennart Poettering parantos nyebarkeun usulan pikeun modérnisasi prosés boot pikeun distribusi Linux, anu ditujukeun pikeun ngarengsekeun masalah anu aya sareng nyederhanakeun organisasi boot anu diverifikasi pinuh anu mastikeun réliabilitas kernel sareng lingkungan sistem anu aya. Parobihan anu diperyogikeun pikeun nerapkeun arsitéktur énggal parantos kalebet dina basis kode systemd sareng mangaruhan komponén sapertos systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase sareng systemd-creds.
Parobahan anu diusulkeun kulub dugi ka nyiptakeun gambar universal tunggal UKI (Gambar Kernel Unified), ngagabungkeun gambar kernel Linux, panangan pikeun ngamuat kernel tina UEFI (stub boot UEFI) sareng lingkungan sistem initrd dimuat kana mémori, dianggo pikeun initialization awal di panggung saméméh ningkatna root FS. Gantina hiji gambar disk RAM initrd, sakabéh sistem bisa rangkep dina UKI, nu ngidinan Anjeun pikeun nyieun lingkungan sistem pinuh diverifikasi dimuat kana RAM. Gambar UKI diformat salaku file anu tiasa dieksekusi dina format PE, anu tiasa dimuat henteu ngan ukur nganggo bootloader tradisional, tapi tiasa disebat langsung tina firmware UEFI.
Kamampuhan pikeun nelepon ti UEFI ngamungkinkeun anjeun nganggo cek integritas tanda tangan digital anu nyertakeun henteu ngan ukur kernel, tapi ogé eusi initrd. Dina waktos anu sami, dukungan pikeun nelepon ti bootloader tradisional ngamungkinkeun anjeun pikeun nahan fitur sapertos pangiriman sababaraha versi kernel sareng rollback otomatis ka kernel anu tiasa dianggo upami aya masalah sareng kernel énggal saatos masang apdet.
Ayeuna, dina kalolobaan distribusi Linux, prosés inisialisasi nganggo ranté "firmware → lapisan shim Microsoft anu ditandatanganan sacara digital → GRUB boot loader ditandatanganan sacara digital ku distribusi → kernel Linux anu ditandatanganan sacara digital → lingkungan initrd anu henteu ditandatanganan → root FS." Kurangna verifikasi initrd dina distribusi tradisional nyiptakeun masalah kaamanan, sabab, antara séjén, dina lingkungan ieu konci pikeun ngadekrip sistem file akar dicandak.
Verifikasi gambar initrd henteu dirojong kumargi file ieu dihasilkeun dina sistem lokal pangguna sareng teu tiasa disertipikasi ku tanda tangan digital kit distribusi, anu ngahesekeun pisan organisasi verifikasi nalika nganggo mode SecureBoot (pikeun pariksa initrd, pamaké kudu ngahasilkeun konci sorangan sarta muka kana firmware UEFI). Sajaba ti éta, organisasi boot ayeuna teu ngidinan pamakéan informasi ti TPM PCR (Platform Konfigurasi ngadaptar) ngadaptar pikeun ngadalikeun integritas komponén spasi pamaké lian ti shim, grub jeung kernel. Diantara masalah anu aya, pajeulitna ngamutahirkeun bootloader sareng henteu mampuh ngabatesan aksés kana konci dina TPM pikeun versi OS anu langkung lami anu janten teu relevan saatos masang apdet ogé disebatkeun.
Tujuan utama ngenalkeun arsitektur loading anyar nyaéta:
- Nyadiakeun prosés boot pinuh diverifikasi nu ngawengku ti firmware ka spasi pamaké, confirming validitas jeung integritas komponén keur booted.
- Linking sumberdaya dikawasa ka TPM PCR registers, dipisahkeun ku nu boga.
- Kamampuhan pikeun ngitung nilai PCR dumasar kana kernel, initrd, konfigurasi sareng ID sistem lokal anu dianggo nalika boot.
- Perlindungan ngalawan serangan rollback pakait sareng rolling deui ka versi rentan saméméhna tina sistem.
- Simplify sareng ningkatkeun reliabilitas apdet.
- Rojongan pikeun apdet OS nu teu merlukeun ulang aplikasi atawa provisioning lokal sumberdaya TPM-ditangtayungan.
- Sistem parantos siap pikeun sertifikasi jauh pikeun ngonfirmasi kabeneran OS sareng setelan anu dimuat.
- Kamampuhan pikeun ngagantelkeun data sénsitip kana tahap boot tangtu, contona, ékstrak konci énkripsi pikeun sistem file root tina TPM.
- Nyayogikeun prosés anu aman, otomatis, sareng bébas pangguna pikeun muka konci konci pikeun ngadekrip drive partisi akar.
- Pamakéan chip nu ngarojong TPM 2.0 spésifikasi, kalawan kamampuhan pikeun rollback kana sistem tanpa TPM.
sumber: opennet.ru