レナート・ポエタリング (Systemdの作成者) それを知らせた 最近 起動プロセスを近代化する提案 分布の 既存の問題を解決することを目的とした Linux の また、完全な検証済みブートの構成を簡素化し、カーネルと基盤となるシステム環境の信頼性を確認します。
提案された変更 に削減されます 単一のユニバーサル UKI イメージの作成 (統一カーネルイメージ) カーネルイメージをマージします UEFI からカーネルをロードするための Linux ドライバー (UEFI ブートスタブ) およびシステム環境 initrd がメモリにロードされます、FSをマウントする前の段階での初期初期化に使用されます。
RAM ディスク イメージの代わりに 初期化、 システム全体をUKIに詰め込むことができます、RAM にロードされる完全に検証されたシステム環境の作成を可能にします。 UKI イメージは、PE 形式の実行可能ファイルとしてパッケージ化されており、従来のブートローダーでロードできるだけでなく、UEFI ファームウェアから直接呼び出すこともできます。
UEFI から呼び出す機能により、デジタル署名の有効性と整合性チェックを使用できます カーネルだけでなく、initrd の内容もカバーします。 同時に、従来のブートローダーからの呼び出しのサポートにより、最新バージョンのインストール後に新しいカーネルに問題が検出された場合に、複数のカーネル バージョンを配信したり、動作中のカーネルに自動的にロールバックしたりするなどの機能を節約できます。
現在のところ、 ほとんどの Linux ディストリビューションは 鎖 「ファームウェア → デジタル署名された Microsoft shim レイヤー → デジタル署名されたディストリビューション GRUB ブートローダー → デジタル署名されたディストリビューション Linux カーネル → 署名されていない initrd 環境 → FS ルート」 初期化プロセスで。 initrd チェックの欠落 従来のディストリビューションで セキュリティ上の問題を引き起こす、とりわけ、この環境はキーを抽出して FS ルートを復号化するためです。
initrd イメージの検証はサポートされていません、このファイルはユーザーのローカル システムで生成され、ディストリビューションのデジタル署名によって証明できないため、SecureBoot モードを使用するときに検証を整理することが非常に困難になります (initrd を検証するには、ユーザーはキーを生成し、それらをUEFI ファームウェア)。
さらに、 既存のブート組織では、TPM PCR レジスタからの情報を使用できません (プラットフォーム構成レジストリ) shim、grub、およびカーネル以外のユーザー空間コンポーネントの整合性を制御します。 既存の問題の中には、ブートローダーの更新の複雑さと、更新プログラムのインストール後に無関係になった古いバージョンのオペレーティング システムの TPM でキーへのアクセスを制限できないことも言及されています。
実装の主な目的 新しいブート アーキテクチャ:
- ファームウェアからユーザー空間までのすべての段階をカバーし、ダウンロードされたコンポーネントの有効性と完全性を確認する、完全に検証されたダウンロード プロセスを提供します。
- 所有者による分離を伴う、制御されたリソースの TPM PCR レジスタへのリンク。
- カーネル ブート、initrd、構成、およびローカル システム ID に基づいて PCR 値を事前計算する機能。
- システムの以前の脆弱なバージョンへの復帰に関連するロールバック攻撃に対する保護。
- 更新の信頼性を簡素化し、改善します。
- TPM で保護されたリソースをローカルで再適用またはプロビジョニングする必要がない OS アップグレードのサポート。
- リモート認証用にシステムを準備して、オペレーティング システムとブート構成の正確性を確認します。
- TPM から FS ルートの暗号化キーを抽出するなどして、機密データを特定のブート ステージにアタッチする機能。
- キーのロックを解除してルート パーティションを使用してドライブを復号化するための、安全で自動かつサイレントなプロセスを提供します。
- TPM 2.0 仕様をサポートするチップを使用し、TPM のないシステムにフォールバックする機能。
必要な変更 新しいアーキテクチャを実装する systemd コードベースにすでに含まれています systemd-stub、systemd-measure、systemd-cryptenroll、systemd-cryptsetup、systemd-pcrphase、systemd-creds などのコンポーネントに影響を与えます。
最後に あなたがそれについてもっと知りたいなら、詳細はで確認できます 次のリンク。
レナートからのより多くのゴミ..