彼らは、Linux のブート プロセスを最新化することを提案しています。

Darkcrizt

4分

トラステッドブート

新しい Linux ブートは、堅牢性とシンプルさに重点を置いて、将来にわたってうまく機能します。

レナート・ポエタリング (Systemdの作成者) それを知らせた 最近 起動プロセスを近代化する提案 分布の 既存の問題を解決することを目的とした Linux の また、完全な検証済みブートの構成を簡素化し、カーネルと基盤となるシステム環境の信頼性を確認します。

提案された変更 に削減されます 単一のユニバーサル UKI イメージの作成 (統一カーネルイメージ) カーネルイメージをマージします UEFI からカーネルをロードするための Linux ドライバー (UEFI ブートスタブ) およびシステム環境 initrd がメモリにロードされます、FSをマウントする前の段階での初期初期化に使用されます。

RAM ディスク イメージの代わりに 初期化、 システム全体をUKIに詰め込むことができます、RAM にロードされる完全に検証されたシステム環境の作成を可能にします。 UKI イメージは、PE 形式の実行可能ファイルとしてパッケージ化されており、従来のブートローダーでロードできるだけでなく、UEFI ファームウェアから直接呼び出すこともできます。

UEFI から呼び出す機能により、デジタル署名の有効性と整合性チェックを使用できます カーネルだけでなく、initrd の内容もカバーします。 同時に、従来のブートローダーからの呼び出しのサポートにより、最新バージョンのインストール後に新しいカーネルに問題が検出された場合に、複数のカーネル バージョンを配信したり、動作中のカーネルに自動的にロールバックしたりするなどの機能を節約できます。

現在のところ、 ほとんどの Linux ディストリビューションは「ファームウェア → デジタル署名された Microsoft shim レイヤー → デジタル署名されたディストリビューション GRUB ブートローダー → デジタル署名されたディストリビューション Linux カーネル → 署名されていない initrd 環境 → FS ルート」 初期化プロセスで。 initrd チェックの欠落 従来のディストリビューションで セキュリティ上の問題を引き起こす、とりわけ、この環境はキーを抽出して FS ルートを復号化するためです。

initrd イメージの検証はサポートされていません、このファイルはユーザーのローカル システムで生成され、ディストリビューションのデジタル署名によって証明できないため、SecureBoot モードを使用するときに検証を整理することが非常に困難になります (initrd を検証するには、ユーザーはキーを生成し、それらをUEFI ファームウェア)。

さらに、 既存のブート組織では、TPM PCR レジスタからの情報を使用できません (プラットフォーム構成レジストリ) shim、grub、およびカーネル以外のユーザー空間コンポーネントの整合性を制御します。 既存の問題の中には、ブートローダーの更新の複雑さと、更新プログラムのインストール後に無関係になった古いバージョンのオペレーティング システムの TPM でキーへのアクセスを制限できないことも言及されています。

実装の主な目的 新しいブート アーキテクチャ:

  • ファームウェアからユーザー空間までのすべての段階をカバーし、ダウンロードされたコンポーネントの有効性と完全性を確認する、完全に検証されたダウンロード プロセスを提供します。
  • 所有者による分離を伴う、制御されたリソースの TPM PCR レジスタへのリンク。
  • カーネル ブート、initrd、構成、およびローカル システム ID に基づいて PCR 値を事前計算する機能。
  • システムの以前の脆弱なバージョンへの復帰に関連するロールバック攻撃に対する保護。
  • 更新の信頼性を簡素化し、改善します。
  • TPM で保護されたリソースをローカルで再適用またはプロビジョニングする必要がない OS アップグレードのサポート。
  • リモート認証用にシステムを準備して、オペレーティング システムとブート構成の正確性を確認します。
  • TPM から FS ルートの暗号化キーを抽出するなどして、機密データを特定のブート ステージにアタッチする機能。
  • キーのロックを解除してルート パーティションを使用してドライブを復号化するための、安全で自動かつサイレントなプロセスを提供します。
  • TPM 2.0 仕様をサポートするチップを使用し、TPM のないシステムにフォールバックする機能。

必要な変更 新しいアーキテクチャを実装する systemd コードベースにすでに含まれています systemd-stub、systemd-measure、systemd-cryptenroll、systemd-cryptsetup、systemd-pcrphase、systemd-creds などのコンポーネントに影響を与えます。

最後に あなたがそれについてもっと知りたいなら、詳細はで確認できます 次のリンク。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ルイス
    HACE 2年

    レナートからのより多くのゴ​​ミ..

    luixに返信する