Lennart Poettering, mevcut sorunları çözmeyi ve çekirdeğin ve temel sistem ortamının güvenilirliğini doğrulayan tam olarak doğrulanmış bir önyüklemenin organizasyonunu basitleştirmeyi amaçlayan, Linux dağıtımları için önyükleme sürecini modernize etmeye yönelik bir teklif yayınladı. Yeni mimariyi uygulamak için gereken değişiklikler halihazırda systemd kod tabanında yer alıyor ve systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ve systemd-creds gibi bileşenleri etkiliyor.
Önerilen değişiklikler, Linux çekirdek görüntüsünü, çekirdeği UEFI'den (UEFI önyükleme saplaması) yüklemek için bir işleyiciyi ve belleğe yüklenen initrd sistem ortamını birleştiren tek bir evrensel görüntünün UKI (Birleşik Çekirdek Görüntüsü) oluşturulmasına indirgeniyor. Kök FS'yi monte etmeden önceki aşamada ilk başlatma. Bir initrd RAM disk görüntüsü yerine tüm sistem UKI'de paketlenebilir, bu da RAM'e yüklenen tamamen doğrulanmış sistem ortamları oluşturmanıza olanak tanır. UKI görüntüsü, PE formatında yürütülebilir bir dosya olarak biçimlendirilmiştir; bu dosya yalnızca geleneksel önyükleyiciler kullanılarak yüklenemez, aynı zamanda doğrudan UEFI ürün yazılımından da çağrılabilir.
UEFI'den arama yeteneği, yalnızca çekirdeği değil aynı zamanda initrd'nin içeriğini de kapsayan bir dijital imza bütünlüğü kontrolü kullanmanıza olanak tanır. Aynı zamanda, geleneksel önyükleyicilerden çağrı desteği, çekirdeğin çeşitli sürümlerinin teslim edilmesi ve güncellemeyi yükledikten sonra yeni çekirdekte sorunlar tespit edilirse çalışan çekirdeğe otomatik geri alma gibi özellikleri korumanıza olanak tanır.
Şu anda, çoğu Linux dağıtımında, başlatma işlemi "ürün yazılımı → dijital olarak imzalanmış Microsoft dolgu katmanı → dağıtım tarafından dijital olarak imzalanmış GRUB önyükleme yükleyicisi → dijital olarak imzalanmış Linux çekirdeği → imzasız initrd ortamı → kök FS" zincirini kullanıyor. Geleneksel dağıtımlarda initrd doğrulamasının olmaması, diğer şeylerin yanı sıra bu ortamda kök dosya sisteminin şifresini çözmeye yönelik anahtarların alınması nedeniyle güvenlik sorunları yaratır.
Bu dosya kullanıcının yerel sisteminde oluşturulduğu ve dağıtım kitinin dijital imzasıyla sertifikalandırılamadığı için initrd görüntüsünün doğrulanması desteklenmez; bu da SecureBoot modunu kullanırken doğrulama organizasyonunu büyük ölçüde karmaşıklaştırır (initrd'yi doğrulamak için, kullanıcının kendi anahtarlarını oluşturması ve bunları UEFI ürün yazılımına yüklemesi gerekir). Ayrıca mevcut önyükleme organizasyonu, TPM PCR (Platform Yapılandırma Kaydı) kayıtlarından gelen bilgilerin dolgu, grub ve çekirdek dışındaki kullanıcı alanı bileşenlerinin bütünlüğünü kontrol etmek için kullanılmasına izin vermez. Mevcut sorunlar arasında, önyükleyiciyi güncellemenin karmaşıklığı ve güncelleme yüklendikten sonra alakasız hale gelen eski işletim sistemi sürümleri için TPM'deki anahtarlara erişimin kısıtlanamaması da belirtiliyor.
Yeni yükleme mimarisini tanıtmanın ana hedefleri şunlardır:
- Firmware'den kullanıcı alanına kadar uzanan, önyüklenen bileşenlerin geçerliliğini ve bütünlüğünü onaylayan, tamamen doğrulanmış bir önyükleme süreci sağlar.
- Kontrol edilen kaynakları sahibine göre ayrılmış şekilde TPM PCR kayıtlarına bağlama.
- Önyükleme sırasında kullanılan çekirdek, initrd, konfigürasyon ve yerel sistem kimliğine göre PCR değerlerini önceden hesaplayabilme.
- Sistemin güvenlik açığı bulunan önceki bir sürümüne geri dönmeyle ilişkili geri alma saldırılarına karşı koruma.
- Güncellemelerin güvenilirliğini basitleştirin ve artırın.
- TPM korumalı kaynakların yeniden uygulanmasını veya yerel olarak sağlanmasını gerektirmeyen işletim sistemi güncellemeleri desteği.
- Sistem, yüklenen işletim sistemi ve ayarların doğruluğunu onaylamak için uzaktan sertifikasyona hazırdır.
- TPM'den kök dosya sistemi için şifreleme anahtarlarının çıkarılması gibi hassas verileri belirli önyükleme aşamalarına ekleme yeteneği.
- Kök bölüm sürücüsünün şifresini çözmek için anahtarların kilidini açmak için güvenli, otomatik ve kullanıcı gerektirmeyen bir süreç sağlar.
- TPM'siz sistemlere geri dönme özelliğiyle birlikte TPM 2.0 spesifikasyonunu destekleyen yongaların kullanılması.
Kaynak: opennet.ru