Ленарт Поттеринг пешниҳоди навсозии раванди боркунӣ барои дистрибюторҳои Linux-ро нашр кард, ки ба ҳалли мушкилоти мавҷуда ва соддагардонии ташкили пурборкунии пурраи тасдиқшуда нигаронида шудааст, ки эътимоднокии ядро ва муҳити асосии системаро тасдиқ мекунад. Тағиротҳое, ки барои татбиқи меъмории нав лозиманд, аллакай ба пойгоҳи коди системавӣ дохил карда шудаанд ва ба ҷузъҳо ба монанди systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ва systemd-creds таъсир мерасонанд.
Тағйироти пешниҳодшуда то эҷоди як тасвири универсалии UKI (Unified Kernel Image), ки тасвири ядрои Linux, коркардкунанда барои боркунии ядро аз UEFI (UEFI boot stub) ва муҳити системаи initrd, ки ба хотира бор карда шудааст, алоқаманд аст, ки барои оғозкунии ибтидоӣ дар марҳилаи пеш аз насб кардани решаи FS. Ба ҷои тасвири диски initrd RAM, тамоми системаро дар UKI бастабандӣ кардан мумкин аст, ки ба шумо имкон медиҳад, ки муҳитҳои пурраи системаро, ки ба RAM бор карда шудаанд, эҷод кунед. Тасвири UKI ҳамчун файли иҷрошаванда дар формати PE формат карда шудааст, ки онро на танҳо бо истифода аз боркунакҳои анъанавӣ бор кардан мумкин аст, балки онро мустақиман аз нармафзори UEFI даъват кардан мумкин аст.
Имконияти занг задан аз UEFI ба шумо имкон медиҳад, ки санҷиши якпорчагии имзои рақамиро истифода баред, ки на танҳо ядро, балки мундариҷаи initrd-ро низ фаро мегирад. Ҳамзамон, дастгирии занг аз боркунакҳои анъанавӣ ба шумо имкон медиҳад, ки чунин хусусиятҳоро ба мисли таҳвили якчанд версияи ядро ва бозгашти худкор ба ядрои корӣ дар сурати ошкор шудани мушкилот дар ядрои нав пас аз насб кардани навсозӣ нигоҳ доред.
Дар айни замон, дар аксари дистрибюторҳои Linux, раванди оғозёбӣ аз занҷири “прошворӣ → қабати рақамии Microsoft shim → боркунаки пурборкунандаи GRUB, ки аз ҷониби дистрибютор ба таври рақамӣ имзо шудааст → ядрои ба таври рақамӣ имзошудаи Linux → муҳити имзонашудаи initrd → решаи FS” истифода мешавад. Набудани санҷиши ибтидоӣ дар тақсимоти анъанавӣ мушкилоти амниятро ба вуҷуд меорад, зеро дар байни чизҳои дигар, дар ин муҳит калидҳои рамзкушоии системаи файлии реша гирифта мешаванд.
Тасдиқи тасвири initrd дастгирӣ намешавад, зеро ин файл дар системаи локалии корбар тавлид мешавад ва онро бо имзои рақамии маҷмӯаи тақсимот тасдиқ кардан мумкин нест, ки ташкили санҷишро ҳангоми истифодаи режими SecureBoot (барои тафтиши ибтидоӣ, корбар бояд калидҳои худро тавлид кунад ва онҳоро ба нармафзори UEFI бор кунад). Илова бар ин, ташкилоти кунунии пурборкунанда истифодаи маълумотро аз регистрҳои TPM PCR (Рӯйхати конфигуратсияи платформа) барои назорати тамомияти ҷузъҳои фазои корбар ба ғайр аз shim, grub ва ядро иҷозат намедиҳад. Дар байни мушкилоти мавҷуда, мураккабии навсозии боркунак ва имконнопазирии маҳдуд кардани дастрасӣ ба калидҳо дар TPM барои версияҳои кӯҳнаи ОС, ки пас аз насб кардани навсозӣ номувофиқ шудаанд, низ зикр шудааст.
Ҳадафҳои асосии ҷорӣ намудани меъмории нави боркунӣ инҳоянд:
- Таъмини раванди пурборкунандаи пурборкунӣ, ки аз нармафзори нармафзор то фазои корбарро дар бар мегирад, дурустӣ ва якпорчагии ҷузъҳои пурборшавандаро тасдиқ мекунад.
- Пайваст кардани захираҳои назоратшаванда ба регистрҳои PCR TPM, ки аз ҷониби соҳиб ҷудо карда шудаанд.
- Имконияти пеш аз ҳисоб кардани арзишҳои PCR дар асоси ядро, initrd, конфигуратсия ва ID системаи маҳаллӣ, ки ҳангоми боркунӣ истифода мешаванд.
- Муҳофизат аз ҳамлаҳои бозгашт, ки бо бозгашт ба версияи қаблии осебпазири система алоқаманд аст.
- Содда ва баланд бардоштани эътимоднокии навсозиҳо.
- Дастгирии навсозиҳои OS, ки дубора дархост ё таъминоти маҳаллии захираҳои аз ҷониби TPM ҳифзшавандаро талаб намекунанд.
- Система барои сертификатсияи фосилавӣ омода аст, то дурустии ОС-и боршуда ва танзимотро тасдиқ кунад.
- Имконияти замима кардани маълумоти ҳассос ба марҳилаҳои муайяни боркунӣ, масалан, истихроҷи калидҳои рамзгузорӣ барои системаи файлии реша аз TPM.
- Таъмини раванди бехатар, автоматӣ ва бе корбар барои кушодани калидҳо барои рамзкушоӣ кардани диски қисмати реша.
- Истифодаи микросхемаҳои, ки мушаххасоти TPM 2.0-ро дастгирӣ мекунанд, бо қобилияти бозгашт ба системаҳо бидуни TPM.
Манбаъ: opennet.ru