Nové zavádění Linuxu bude fungovat i v budoucnu se zaměřením na robustnost a jednoduchost.
Lennart Poettering (tvůrce Systemd) oznámil to nedávno návrh na modernizaci zaváděcího procesu distribucí Linuxu, s cílem vyřešit stávající problémy a zjednodušit organizaci plně ověřeného spouštění, což potvrzuje autenticitu jádra a základního systémového prostředí.
Navrhované změny jsou redukovány na vytvoření jednotného univerzálního obrazu UKI (Unifikovaný obrázek jádra) který sloučí obraz jádra Linuxový ovladač pro načtení jádra z UEFI (UEFI boot stub) a systémové prostředí initrd načteno do paměti, sloužící k počáteční inicializaci ve fázi před montáží FS.
Místo obrazu ramdisku initrd, celý systém lze zabalit do UKI, což umožňuje vytvářet plně ověřená systémová prostředí, která se načítají do paměti RAM. Obraz UKI je zabalen jako spustitelný soubor ve formátu PE, který lze nejen načíst tradičními bootloadery, ale lze jej také volat přímo z firmwaru UEFI.
Schopnost volat z UEFI umožňuje použití kontroly platnosti a integrity digitálního podpisu který pokrývá nejen jádro, ale také obsah initrd. Zároveň podpora volání z tradičních zavaděčů umožňuje ukládání funkcí, jako je dodání více verzí jádra a automatický návrat zpět k funkčnímu jádru v případě, že jsou po instalaci nejnovější verze zjištěny problémy s novým jádrem.
V současné době, používá většina distribucí Linuxu řetěz "firmware → digitálně podepsaná vrstva shim Microsoft → digitálně podepsaná distribuce GRUB boot loader → digitálně podepsaná distribuce Linuxové jádro → nepodepsané prostředí initrd → kořenový adresář FS" v procesu inicializace. Chybí kontrola initrd v tradičních distribucích vytváří bezpečnostní problémy, protože toto prostředí mimo jiné extrahuje klíče pro dešifrování kořene FS.
Ověření obrazu initrd není podporováno, protože tento soubor je generován v lokálním systému uživatele a nemůže být certifikován digitálním podpisem distribuce, což velmi ztěžuje organizaci ověření při použití režimu SecureBoot (pro ověření initrd musí uživatel vygenerovat vaše klíče a načíst je do firmware UEFI).
Navíc, stávající zaváděcí organizace neumožňuje použití informací z registrů TPM PCR (Platform Configuration Registry) pro řízení integrity komponent uživatelského prostoru jiných než shim, grub a kernel. Mezi existujícími problémy je zmíněna i komplikace aktualizace bootloaderu a nemožnost omezit přístup ke klíčům v TPM u starších verzí operačního systému, které se po instalaci aktualizace staly irelevantními.
Hlavní cíle realizace nová spouštěcí architektura:
- Poskytněte plně ověřený proces stahování, který pokrývá všechny fáze od firmwaru po uživatelský prostor a potvrzuje platnost a integritu stažených komponent.
- Napojení řízených zdrojů na registry TPM PCR s oddělením podle vlastníků.
- Schopnost předpočítat hodnoty PCR na základě bootování jádra, initrd, konfigurace a ID místního systému.
- Ochrana proti rollback útokům spojeným s návratem k předchozí zranitelné verzi systému.
- Zjednodušte a zlepšujte spolehlivost aktualizací.
- Podpora upgradů operačního systému, které nevyžadují opětovné použití nebo zřízení prostředků chráněných TPM lokálně.
- Příprava systému na vzdálenou certifikaci pro potvrzení správnosti operačního systému a konfigurace spouštění.
- Možnost připojit citlivá data k určitým fázím spouštění, například extrahováním šifrovacích klíčů pro kořen FS z TPM.
- Poskytněte bezpečný, automatický a tichý proces odemykání klíčů pro dešifrování disku s kořenovým oddílem.
- Použití čipů, které podporují specifikaci TPM 2.0, se schopností vrátit se k systémům bez TPM.
Potřebné změny implementovat novou architekturu jsou již zahrnuty v kódové základně systemd a ovlivnit komponenty jako systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase a systemd-creds.
Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti v následující odkaz.
Další odpad od lennarta..