پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > لینارٹ پوٹرنگ نے ایک نیا لینکس تصدیق شدہ بوٹ آرکیٹیکچر تجویز کیا۔

لینارٹ پوٹرنگ نے ایک نیا لینکس تصدیق شدہ بوٹ آرکیٹیکچر تجویز کیا۔

Lennart Poettering نے لینکس کی تقسیم کے لیے بوٹ کے عمل کو جدید بنانے کے لیے ایک تجویز شائع کی ہے، جس کا مقصد موجودہ مسائل کو حل کرنا اور ایک مکمل تصدیق شدہ بوٹ کی تنظیم کو آسان بنانا ہے جو کرنل کی وشوسنییتا اور بنیادی نظام کے ماحول کی تصدیق کرتا ہے۔ نئے فن تعمیر کو لاگو کرنے کے لیے درکار تبدیلیاں پہلے سے ہی سسٹمڈ کوڈبیس میں شامل ہیں اور سسٹمڈ-اسٹب، سسٹمڈ-پیمانہ، systemd-کرپٹینرول، systemd-cryptsetup، systemd-pcrphase اور systemd-creds جیسے اجزاء کو متاثر کرتی ہیں۔

مجوزہ تبدیلیاں ایک واحد یونیورسل امیج UKI (یونیفائیڈ کرنل امیج) کی تخلیق پر ابلتی ہیں، جس میں لینکس کرنل امیج، UEFI (UEFI بوٹ اسٹب) سے کرنل لوڈ کرنے کے لیے ایک ہینڈلر اور میموری میں لوڈ initrd سسٹم ماحول، کے لیے استعمال ہوتا ہے۔ روٹ FS کو ماؤنٹ کرنے سے پہلے مرحلے پر ابتدائی ابتدا۔ initrd RAM ڈسک امیج کے بجائے، پورے سسٹم کو UKI میں پیک کیا جا سکتا ہے، جو آپ کو RAM میں بھری ہوئی مکمل تصدیق شدہ سسٹم کے ماحول بنانے کی اجازت دیتا ہے۔ UKI امیج کو PE فارمیٹ میں ایک قابل عمل فائل کے طور پر فارمیٹ کیا گیا ہے، جسے نہ صرف روایتی بوٹ لوڈرز کا استعمال کرتے ہوئے لوڈ کیا جا سکتا ہے، بلکہ اسے براہ راست UEFI فرم ویئر سے بلایا جا سکتا ہے۔

UEFI سے کال کرنے کی اہلیت آپ کو ڈیجیٹل دستخطی انٹیگریٹی چیک استعمال کرنے کی اجازت دیتی ہے جو نہ صرف دانا بلکہ initrd کے مواد کا احاطہ کرتا ہے۔ ایک ہی وقت میں، روایتی بوٹ لوڈرز سے کال کرنے کے لیے سپورٹ آپ کو کرنل کے کئی ورژنز کی ڈیلیوری اور اگر اپ ڈیٹ انسٹال کرنے کے بعد نئے کرنل کے ساتھ مسائل کا پتہ چلتا ہے تو ورکنگ کرنل میں خودکار رول بیک جیسی خصوصیات کو برقرار رکھنے کی اجازت دیتا ہے۔

فی الحال، زیادہ تر لینکس ڈسٹری بیوشنز میں، ابتدائی عمل چین کا استعمال کرتا ہے "فرم ویئر → ڈیجیٹل طور پر دستخط شدہ مائیکروسافٹ شیم لیئر → GRUB بوٹ لوڈر ڈیجیٹل طور پر دستخط شدہ ڈسٹری بیوشن → ڈیجیٹل طور پر دستخط شدہ لینکس کرنل → غیر دستخط شدہ initrd ماحول → روٹ FS۔" روایتی تقسیم میں initrd تصدیق کی کمی سیکورٹی کے مسائل پیدا کرتی ہے، کیونکہ دیگر چیزوں کے علاوہ، اس ماحول میں روٹ فائل سسٹم کو ڈکرپٹ کرنے کی کلیدیں بازیافت کی جاتی ہیں۔

initrd امیج کی توثیق اس لیے تعاون یافتہ نہیں ہے کیونکہ یہ فائل صارف کے لوکل سسٹم پر تیار کی گئی ہے اور اسے ڈسٹری بیوشن کٹ کے ڈیجیٹل دستخط سے تصدیق نہیں کیا جا سکتا، جو SecureBoot موڈ کا استعمال کرتے وقت تصدیق کی تنظیم کو بہت پیچیدہ بناتا ہے (initrd کی تصدیق کے لیے، صارف کو اپنی چابیاں تیار کرنے اور انہیں UEFI فرم ویئر میں لوڈ کرنے کی ضرورت ہے)۔ اس کے علاوہ، موجودہ بوٹ آرگنائزیشن TPM PCR (پلیٹ فارم کنفیگریشن رجسٹر) سے معلومات کے استعمال کی اجازت نہیں دیتی ہے تاکہ شیم، گرب اور کرنل کے علاوہ صارف کی جگہ کے اجزاء کی سالمیت کو کنٹرول کیا جا سکے۔ موجودہ مسائل میں، بوٹ لوڈر کو اپ ڈیٹ کرنے کی پیچیدگی اور OS کے پرانے ورژن کے لیے TPM میں کیز تک رسائی کو محدود کرنے میں ناکامی جو کہ اپ ڈیٹ انسٹال کرنے کے بعد غیر متعلق ہو گئے ہیں، کا بھی ذکر ہے۔

نئے لوڈنگ فن تعمیر کو متعارف کرانے کے اہم مقاصد یہ ہیں:

  • ایک مکمل تصدیق شدہ بوٹ پروسیس فراہم کرنا جو فرم ویئر سے یوزر اسپیس تک پھیلا ہوا ہے، بوٹ کیے جانے والے اجزاء کی درستگی اور سالمیت کی تصدیق کرتا ہے۔
  • کنٹرول شدہ وسائل کو TPM PCR رجسٹروں سے جوڑنا، مالک کے ذریعے الگ۔
  • بوٹ کے دوران استعمال ہونے والے کرنل، initrd، کنفیگریشن اور لوکل سسٹم آئی ڈی کی بنیاد پر پی سی آر ویلیوز کا پہلے سے حساب لگانے کی اہلیت۔
  • سسٹم کے پچھلے کمزور ورژن پر واپس آنے سے منسلک رول بیک حملوں کے خلاف تحفظ۔
  • آسان بنائیں اور اپ ڈیٹس کی وشوسنییتا میں اضافہ کریں۔
  • OS اپ ڈیٹس کے لیے سپورٹ جن کے لیے دوبارہ درخواست یا TPM سے محفوظ وسائل کی مقامی فراہمی کی ضرورت نہیں ہے۔
  • لوڈ شدہ OS اور سیٹنگز کی درستگی کی تصدیق کے لیے سسٹم ریموٹ سرٹیفیکیشن کے لیے تیار ہے۔
  • بوٹ کے مخصوص مراحل میں حساس ڈیٹا کو منسلک کرنے کی صلاحیت، مثال کے طور پر، TPM سے روٹ فائل سسٹم کے لیے انکرپشن کیز نکالنا۔
  • روٹ پارٹیشن ڈرائیو کو ڈکرپٹ کرنے کے لیے چابیاں کھولنے کے لیے ایک محفوظ، خودکار، اور صارف سے پاک عمل فراہم کرنا۔
  • چپس کا استعمال جو TPM 2.0 تفصیلات کو سپورٹ کرتے ہیں، TPM کے بغیر سسٹمز میں رول بیک کرنے کی صلاحیت کے ساتھ۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں