Lennart Poettering, Linux விநியோகங்களுக்கான துவக்க செயல்முறையை நவீனமயமாக்கும் திட்டத்தை வெளியிட்டுள்ளது, இது ஏற்கனவே உள்ள சிக்கல்களைத் தீர்ப்பதை நோக்கமாகக் கொண்டது மற்றும் கர்னலின் நம்பகத்தன்மை மற்றும் அடிப்படை கணினி சூழலை உறுதிப்படுத்தும் முழு சரிபார்க்கப்பட்ட துவக்க அமைப்பை எளிதாக்குகிறது. புதிய கட்டமைப்பை செயல்படுத்த தேவையான மாற்றங்கள் ஏற்கனவே systemd கோட்பேஸில் சேர்க்கப்பட்டுள்ளது மற்றும் systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase மற்றும் systemd-creds போன்ற கூறுகளை பாதிக்கிறது.
UEFI (UEFI பூட் ஸ்டப்) மற்றும் நினைவகத்தில் ஏற்றப்பட்ட initrd கணினி சூழல் ஆகியவற்றிலிருந்து கர்னலை ஏற்றுவதற்கான கையாளான லினக்ஸ் கர்னல் படத்தை ஒருங்கிணைத்து UKI (யுனிஃபைட் கர்னல் இமேஜ்) என்ற ஒற்றை யுனிவர்சல் படத்தை உருவாக்க முன்மொழியப்பட்ட மாற்றங்கள் கொதிக்கின்றன. ரூட் FS ஐ ஏற்றுவதற்கு முன் கட்டத்தில் ஆரம்ப துவக்கம். initrd ரேம் வட்டு படத்திற்கு பதிலாக, முழு கணினியையும் UKI இல் தொகுக்க முடியும், இது RAM இல் ஏற்றப்பட்ட முழுமையாக சரிபார்க்கப்பட்ட கணினி சூழல்களை உருவாக்க உங்களை அனுமதிக்கிறது. UKI படம் PE வடிவத்தில் இயங்கக்கூடிய கோப்பாக வடிவமைக்கப்பட்டுள்ளது, இது பாரம்பரிய பூட்லோடர்களைப் பயன்படுத்தி மட்டும் ஏற்ற முடியாது, ஆனால் UEFI ஃபார்ம்வேரிலிருந்து நேரடியாக அழைக்கப்படலாம்.
UEFI இலிருந்து அழைக்கும் திறன், கர்னலை மட்டுமல்ல, initrd இன் உள்ளடக்கங்களையும் உள்ளடக்கிய டிஜிட்டல் சிக்னேச்சர் ஒருமைப்பாடு சரிபார்ப்பைப் பயன்படுத்த உங்களை அனுமதிக்கிறது. அதே நேரத்தில், பாரம்பரிய பூட்லோடர்களிடமிருந்து அழைப்பதற்கான ஆதரவு, கர்னலின் பல பதிப்புகளை வழங்குதல் மற்றும் புதுப்பிப்பை நிறுவிய பின் புதிய கர்னலில் சிக்கல்கள் கண்டறியப்பட்டால், வேலை செய்யும் கர்னலுக்கு தானாக திரும்புதல் போன்ற அம்சங்களைத் தக்கவைத்துக்கொள்ள உங்களை அனுமதிக்கிறது.
தற்சமயம், பெரும்பாலான லினக்ஸ் விநியோகங்களில், துவக்கச் செயல்முறையானது "ஃபர்ம்வேர் → டிஜிட்டல் கையொப்பமிடப்பட்ட மைக்ரோசாஃப்ட் ஷிம் லேயர் → GRUB துவக்க ஏற்றி விநியோகத்தால் டிஜிட்டல் கையொப்பமிடப்பட்ட → டிஜிட்டல் கையொப்பமிடப்பட்ட லினக்ஸ் கர்னல் → கையொப்பமிடாத initrd சூழல் → ரூட் FS" சங்கிலியைப் பயன்படுத்துகிறது. பாரம்பரிய விநியோகங்களில் initrd சரிபார்ப்பு இல்லாமை பாதுகாப்பு சிக்கல்களை உருவாக்குகிறது, ஏனெனில், மற்றவற்றுடன், இந்த சூழலில் ரூட் கோப்பு முறைமையை மறைகுறியாக்குவதற்கான விசைகள் மீட்டெடுக்கப்படுகின்றன.
initrd படத்தின் சரிபார்ப்பு ஆதரிக்கப்படவில்லை, ஏனெனில் இந்தக் கோப்பு பயனரின் லோக்கல் சிஸ்டத்தில் உருவாக்கப்பட்டுள்ளது மற்றும் விநியோகக் கருவியின் டிஜிட்டல் கையொப்பத்துடன் சான்றளிக்க முடியாது, இது SecureBoot பயன்முறையைப் பயன்படுத்தும் போது சரிபார்ப்பின் அமைப்பை பெரிதும் சிக்கலாக்குகிறது (initrd ஐச் சரிபார்க்க, பயனர் தங்கள் சொந்த விசைகளை உருவாக்கி அவற்றை UEFI firmware இல் ஏற்ற வேண்டும்). கூடுதலாக, ஷிம், க்ரப் மற்றும் கர்னலைத் தவிர மற்ற பயனர் இடக் கூறுகளின் ஒருமைப்பாட்டைக் கட்டுப்படுத்த டிபிஎம் பிசிஆர் (பிளாட்ஃபார்ம் உள்ளமைவுப் பதிவு) பதிவேட்டில் இருந்து தகவல்களைப் பயன்படுத்த தற்போதைய துவக்க அமைப்பு அனுமதிப்பதில்லை. தற்போதுள்ள சிக்கல்களில், பூட்லோடரைப் புதுப்பிப்பதில் உள்ள சிக்கலானது மற்றும் புதுப்பிப்பை நிறுவிய பின் பொருத்தமற்றதாகிவிட்ட OS இன் பழைய பதிப்புகளுக்கான TPM இல் உள்ள விசைகளுக்கான அணுகலைக் கட்டுப்படுத்த இயலாமை ஆகியவை குறிப்பிடப்பட்டுள்ளன.
புதிய ஏற்றுதல் கட்டமைப்பை அறிமுகப்படுத்துவதற்கான முக்கிய குறிக்கோள்கள்:
- ஃபார்ம்வேரில் இருந்து பயனர் இடம் வரை பரவும் முழு சரிபார்க்கப்பட்ட துவக்க செயல்முறையை வழங்குதல், துவக்கப்படும் கூறுகளின் செல்லுபடியாகும் தன்மை மற்றும் ஒருமைப்பாட்டை உறுதிப்படுத்துகிறது.
- உரிமையாளரால் பிரிக்கப்பட்ட TPM PCR பதிவேடுகளுடன் கட்டுப்படுத்தப்பட்ட ஆதாரங்களை இணைக்கிறது.
- துவக்கத்தின் போது பயன்படுத்தப்படும் கர்னல், initrd, கட்டமைப்பு மற்றும் உள்ளூர் அமைப்பு ஐடி ஆகியவற்றின் அடிப்படையில் PCR மதிப்புகளை முன்கூட்டியே கணக்கிடும் திறன்.
- கணினியின் முந்தைய பாதிக்கப்படக்கூடிய பதிப்பிற்கு திரும்புவதுடன் தொடர்புடைய ரோல்பேக் தாக்குதல்களுக்கு எதிரான பாதுகாப்பு.
- புதுப்பிப்புகளின் நம்பகத்தன்மையை எளிமைப்படுத்தவும் அதிகரிக்கவும்.
- TPM-பாதுகாக்கப்பட்ட ஆதாரங்களின் மறு பயன்பாடு அல்லது உள்ளூர் வழங்கல் தேவையில்லாத OS புதுப்பிப்புகளுக்கான ஆதரவு.
- ஏற்றப்பட்ட OS மற்றும் அமைப்புகளின் சரியான தன்மையை உறுதிப்படுத்த ரிமோட் சான்றிதழுக்கு கணினி தயாராக உள்ளது.
- சில துவக்க நிலைகளில் முக்கியமான தரவை இணைக்கும் திறன், எடுத்துக்காட்டாக, TPM இலிருந்து ரூட் கோப்பு முறைமைக்கான குறியாக்க விசைகளை பிரித்தெடுத்தல்.
- ரூட் பகிர்வு இயக்ககத்தை மறைகுறியாக்க விசைகளைத் திறப்பதற்கான பாதுகாப்பான, தானியங்கி மற்றும் பயனர்-இலவச செயல்முறையை வழங்குகிறது.
- TPM 2.0 விவரக்குறிப்பை ஆதரிக்கும் சில்லுகளின் பயன்பாடு, TPM இல்லாமல் கணினிகளுக்கு திரும்பும் திறன்.
ஆதாரம்: opennet.ru