הם מציעים לחדש את תהליך האתחול של לינוקס

Darkcrizt

4 דקות

אתחול מהימן

האתחול החדש של לינוקס יעבוד גם בעתיד עם התמקדות בחוסן ובפשטות.

לנארט פואטינג (היוצר של Systemd) הודיע ​​על כך לאחרונה הצעה למודרניזציה של תהליך האתחול של ההפצות של לינוקס, במטרה לפתור בעיות קיימות ולפשט את הארגון של אתחול מאומת מלא, המאשר את האותנטיות של הליבה וסביבת המערכת הבסיסית.

שינויים מוצעים מופחתים ל יצירת תמונת UKI אוניברסלית אחת (תמונת ליבה מאוחדת) הממזג את תמונת הגרעין מנהל ההתקן של לינוקס לטעינת הליבה מ-UEFI (חתימת אתחול של UEFI) וסביבת המערכת initrd נטענת לזיכרון, משמש לאתחול ראשוני בשלב שלפני הרכבת ה-FS.

במקום תמונת ramdisk initrd, ניתן לארוז את כל המערכת ב-UKI, המאפשר יצירה של סביבות מערכת מאומתות במלואן הנטענות לתוך זיכרון RAM. תמונת ה-UKI ארוזה כקובץ הפעלה בפורמט PE, אשר לא רק ניתן לטעינה עם מטעני אתחול מסורתיים, אלא ניתן גם לקרוא ישירות מקושחת UEFI.

היכולת להתקשר מ-UEFI מאפשרת שימוש בבדיקת תוקף ותקינות חתימה דיגיטלית שמכסה לא רק את הגרעין, אלא גם את התוכן של ה-initrd. יחד עם זאת, תמיכה בקריאות ממעמיסי אתחול מסורתיים מאפשרת שמירת תכונות כגון אספקת גרסאות ליבה מרובות וחזרה אוטומטית לגרעין עובד למקרה שיזוהו בעיות בליבה החדשה לאחר התקנת הגרסה העדכנית ביותר.עדכון.

נכון לעכשיו, רוב הפצות לינוקס משתמשות שַׁרשֶׁרֶת "קושחה → שכבת shim חתומה דיגיטלית של Microsoft → הפצה בחתימה דיגיטלית GRUB אתחול → הפצה בחתימה דיגיטלית ליבת Linux → סביבת initrd לא חתומה → שורש FS" בתהליך האתחול. חסר בדיקה ראשונית בהפצות מסורתיות יוצר בעיות אבטחה, שכן, בין היתר, סביבה זו מחלצת מפתחות כדי לפענח את שורש ה-FS.

אימות של תמונה ראשונית אינו נתמך, מכיוון שקובץ זה נוצר במערכת המקומית של המשתמש ולא ניתן לאשר אותו על ידי החתימה הדיגיטלית של ההפצה, מה שמקשה מאוד על ארגון האימות בעת שימוש במצב SecureBoot (כדי לאמת את ה-initrd, המשתמש צריך ליצור את המפתחות שלך ולטעון אותם לתוך הקושחה של UEFI).

בנוסף, ארגון האתחול הקיים אינו מאפשר שימוש במידע מאוגרי TPM PCR (Platform Configuration Registry) כדי לשלוט על שלמות רכיבי מרחב המשתמש מלבד shim, grub ו-kernel. בין הבעיות הקיימות מוזכרות גם סיבוך עדכון האתחול וחוסר היכולת להגביל את הגישה למפתחות ב-TPM עבור גרסאות ישנות יותר של מערכת ההפעלה שהפכו ללא רלוונטיות לאחר התקנת העדכון.

המטרות העיקריות של היישום ארכיטקטורת האתחול החדשה:

  • ספק תהליך הורדה מאומת במלואו, המכסה את כל השלבים מהקושחה ועד למרחב המשתמש, ומאשר את תקפותם ותקינותם של רכיבים שהורדו.
  • קישור משאבים מבוקרים למאגרי TPM PCR עם הפרדה על ידי בעלים.
  • יכולת לחשב מראש ערכי PCR המבוססים על אתחול ליבה, initrd, תצורה ומזהה מערכת מקומית.
  • הגנה מפני התקפות החזרה לאחור הקשורות לחזרה לגרסה הקודמת הפגיעה של המערכת.
  • פשט ושפר את מהימנות העדכונים.
  • תמיכה בשדרוגי מערכת ההפעלה שאינם מצריכים החלה מחדש או הקצאת משאבים מוגני TPM באופן מקומי.
  • הכנת המערכת להסמכה מרחוק לאישור נכונות מערכת ההפעלה ותצורת האתחול.
  • היכולת לצרף נתונים רגישים לשלבי אתחול מסוימים, למשל על ידי חילוץ מפתחות הצפנה לשורש FS מה-TPM.
  • ספק תהליך בטוח, אוטומטי ושקט לביטול נעילת מפתחות כדי לפענח כונן עם מחיצת שורש.
  • שימוש בשבבים התומכים במפרט TPM 2.0, עם יכולת חזרה למערכות ללא TPM.

השינויים הנדרשים ליישם את הארכיטקטורה החדשה כבר נכללים בבסיס הקוד של המערכת ולהשפיע על רכיבים כגון systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ו-systemd-creds.

בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים ב הקישור הבא.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   לואיקס דיג'ו
    hace 2 שנים

    עוד זבל מלנרט..

    השב ל- luix