Lennart Poettering, bot üretim sürecini modernize etmeye yönelik bir öneri yayınladı. Linux-Mevcut sorunları gidermeyi ve çekirdeğin ve altta yatan sistem ortamının geçerliliğini doğrulayan, tamamen doğrulanmış bir önyükleme sürecinin organizasyonunu basitleştirmeyi amaçlayan dağıtımlar. Yeni mimariyi uygulamak için gereken değişiklikler zaten systemd kod tabanına entegre edildi ve systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ve systemd-creds gibi bileşenleri etkiliyor.
Önerilen değişiklikler, çekirdek görüntüsünü birleştiren tek bir evrensel görüntü olan UKI'nin (Birleşik Çekirdek Görüntüsü) oluşturulmasına indirgeniyor. LinuxUEFI'den çekirdeği yüklemek için bir işleyici (UEFI önyükleme çubuğu) ve kök dosya sistemini bağlamadan önce başlatma için kullanılan, belleğe yüklenmiş bir initrd sistem ortamı içerir. Bir initrd RAM disk görüntüsü yerine, tüm sistem bir UKI'ye paketlenebilir ve bu da RAM'e yüklenmiş tamamen doğrulanmış sistem ortamlarının oluşturulmasına olanak tanır. UKI görüntüsü, yalnızca geleneksel önyükleyiciler tarafından değil, aynı zamanda doğrudan UEFI belleniminden de yüklenebilen PE biçiminde yürütülebilir bir dosya olarak paketlenir.
UEFI'den arama yeteneği, yalnızca çekirdeği değil aynı zamanda initrd'nin içeriğini de kapsayan bir dijital imza bütünlüğü kontrolü kullanmanıza olanak tanır. Aynı zamanda, geleneksel önyükleyicilerden çağrı desteği, çekirdeğin çeşitli sürümlerinin teslim edilmesi ve güncellemeyi yükledikten sonra yeni çekirdekte sorunlar tespit edilirse çalışan çekirdeğe otomatik geri alma gibi özellikleri korumanıza olanak tanır.
Şu anda çoğu dağıtım Linux Başlatma işlemi aşağıdaki zinciri izler: bellenim → Microsoft dijital imzasıyla onaylanmış ara katman → dağıtım dijital imzasıyla onaylanmış GRUB önyükleyici → dağıtım dijital imzasıyla onaylanmış çekirdek Linux → doğrulanmamış initrd ortamı → kök dosya sistemi." Geleneksel dağıtımlarda initrd doğrulamasının olmaması, güvenlik sorunlarına yol açar; çünkü bu ortam, diğer şeylerin yanı sıra, kök dosya sisteminin şifresini çözmek için anahtarları çıkarmak için kullanılır.
Bu dosya kullanıcının yerel sisteminde oluşturulduğu ve dağıtım kitinin dijital imzasıyla sertifikalandırılamadığı için initrd görüntüsünün doğrulanması desteklenmez; bu da SecureBoot modunu kullanırken doğrulama organizasyonunu büyük ölçüde karmaşıklaştırır (initrd'yi doğrulamak için, kullanıcının kendi anahtarlarını oluşturması ve bunları UEFI ürün yazılımına yüklemesi gerekir). Ayrıca mevcut önyükleme organizasyonu, TPM PCR (Platform Yapılandırma Kaydı) kayıtlarından gelen bilgilerin dolgu, grub ve çekirdek dışındaki kullanıcı alanı bileşenlerinin bütünlüğünü kontrol etmek için kullanılmasına izin vermez. Mevcut sorunlar arasında, önyükleyiciyi güncellemenin karmaşıklığı ve güncelleme yüklendikten sonra alakasız hale gelen eski işletim sistemi sürümleri için TPM'deki anahtarlara erişimin kısıtlanamaması da belirtiliyor.
Yeni yükleme mimarisini tanıtmanın ana hedefleri şunlardır:
- Firmware'den kullanıcı alanına kadar uzanan, önyüklenen bileşenlerin geçerliliğini ve bütünlüğünü onaylayan, tamamen doğrulanmış bir önyükleme süreci sağlar.
- Kontrol edilen kaynakları sahibine göre ayrılmış şekilde TPM PCR kayıtlarına bağlama.
- Önyükleme sırasında kullanılan çekirdek, initrd, konfigürasyon ve yerel sistem kimliğine göre PCR değerlerini önceden hesaplayabilme.
- Sistemin güvenlik açığı bulunan önceki bir sürümüne geri dönmeyle ilişkili geri alma saldırılarına karşı koruma.
- Güncellemelerin güvenilirliğini basitleştirin ve artırın.
- TPM korumalı kaynakların yeniden uygulanmasını veya yerel olarak sağlanmasını gerektirmeyen işletim sistemi güncellemeleri desteği.
- Sistem, yüklenen işletim sistemi ve ayarların doğruluğunu onaylamak için uzaktan sertifikasyona hazırdır.
- TPM'den kök dosya sistemi için şifreleme anahtarlarının çıkarılması gibi hassas verileri belirli önyükleme aşamalarına ekleme yeteneği.
- Kök bölüm sürücüsünün şifresini çözmek için anahtarların kilidini açmak için güvenli, otomatik ve kullanıcı gerektirmeyen bir süreç sağlar.
- TPM'siz sistemlere geri dönme özelliğiyle birlikte TPM 2.0 spesifikasyonunu destekleyen yongaların kullanılması.
Kaynak: opennet.ru
