Те предлагат да се модернизира процеса на зареждане на Linux

Новото зареждане на Linux ще работи добре в бъдеще с акцент върху здравината и простотата.

Ленарт Потеринг (създателят на Systemd) го направи известен наскоро предложение за модернизиране на процеса на зареждане на разпределенията на Linux, с цел разрешаване на съществуващи проблеми и опростете организацията на пълно проверено зареждане, потвърждавайки автентичността на ядрото и основната системна среда.

Предложени промени се свеждат до създаване на единен универсален образ на UKI (Унифициран образ на ядрото) който обединява изображението на ядрото Linux драйвер за зареждане на ядрото от UEFI (UEFI boot stub) и системната среда initrd, заредена в паметта, използвани за първоначална инициализация на етапа преди монтиране на FS.

Вместо изображение на рамдиск initrd, цялата система може да бъде опакована в UKI, което позволява създаването на напълно проверени системни среди, които се зареждат в RAM. Изображението на UKI е пакетирано като изпълним файл във формат PE, който не само може да бъде зареден с традиционните програми за зареждане, но може също да бъде извикан директно от фърмуера на UEFI.

Възможността за повикване от UEFI позволява използването на проверка на валидността и целостта на цифровия подпис който покрива не само ядрото, но и съдържанието на initrd. В същото време поддръжката за повиквания от традиционните програми за зареждане позволява запазване на функции като доставяне на множество версии на ядрото и автоматично връщане към работещо ядро, в случай че бъдат открити проблеми с новото ядро ​​след инсталиране на най-новата версия.

В момента повечето Linux дистрибуции използват верига "фърмуер → дигитално подписан слой на Microsoft Shim → дигитално подписан дистрибутор GRUB буутлоудър → дигитално подписан дистрибутор Linux ядро ​​→ неподписана initrd среда → FS root" в процеса на инициализация. Липсва initrd проверка в традиционни дистрибуции създава проблеми със сигурността, тъй като, наред с други неща, тази среда извлича ключове за дешифриране на корена на FS.

Проверката на initrd изображение не се поддържа, тъй като този файл се генерира в локалната система на потребителя и не може да бъде сертифициран от цифровия подпис на дистрибуцията, което прави много трудно организирането на проверка при използване на режим SecureBoot (за да провери initrd, потребителят трябва да генерира вашите ключове и да ги зареди в фърмуера на UEFI).

Освен това, съществуващата организация за зареждане не позволява използването на информация от TPM PCR регистрите (Регистър за конфигурация на платформа), за да контролирате целостта на компонентите на потребителското пространство, различни от shim, grub и kernel. Сред съществуващите проблеми се споменава и усложнението при актуализиране на буутлоудъра и невъзможността за ограничаване на достъпа до ключове в TPM за по-стари версии на операционната система, които са станали без значение след инсталирането на актуализацията.

Основните цели на изпълнението новата архитектура за зареждане:

• Осигурете напълно проверен процес на изтегляне, обхващащ всички етапи от фърмуера до потребителското пространство и потвърждаващ валидността и целостта на изтеглените компоненти.
• Свързване на контролирани ресурси към TPM PCR регистри с разделяне по собственици.
• Възможност за предварително изчисляване на PCR стойности въз основа на зареждане на ядрото, initrd, конфигурация и локален системен идентификатор.
• Защита срещу връщане назад, свързани с връщане към предишната уязвима версия на системата.
• Опростете и подобрете надеждността на актуализациите.
• Поддръжка за надстройки на ОС, които не изискват повторно прилагане или осигуряване на локално защитени с TPM ресурси.
• Подготовка на системата за дистанционно сертифициране, за да се потвърди коректността на операционната система и конфигурацията за зареждане.
• Възможността за прикачване на чувствителни данни към определени етапи на зареждане, например чрез извличане на ключове за шифроване за корена на FS от TPM.
• Осигурете безопасен, автоматичен и безшумен процес за отключване на ключове за декриптиране на устройство с root дял.
• Използването на чипове, които поддържат спецификацията TPM 2.0, с възможност за връщане към системи без TPM.

Необходимите промени за прилагане на новата архитектура вече са включени в кодовата база на systemd и засяга компоненти като systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptensetup, systemd-pcrphase и systemd-creds.

Накрая ако се интересувате да научите повече за това, можете да проверите подробностите в следваща връзка.