Ze stellen voor om het Linux-opstartproces te moderniseren

Darkcrizt

4 minuten

Trusted Boot

De nieuwe Linux-boot zal tot ver in de toekomst werken met een focus op robuustheid en eenvoud.

Lennart Poettering (de maker van Systemd) maakte het bekend kort geleden een voorstel om het opstartproces te moderniseren van distributies van Linux, met als doel bestaande problemen op te lossen en de organisatie van een volledig geverifieerde opstart vereenvoudigen, waarbij de authenticiteit van de kernel en de onderliggende systeemomgeving wordt bevestigd.

Voorgestelde veranderingen zijn gereduceerd tot creatie van een enkele universele UKI-afbeelding (Uniforme kernelafbeelding) die de kernelafbeelding samenvoegt Linux-stuurprogramma om de kernel van UEFI te laden (UEFI-opstartstub) en de systeemomgeving initrd geladen in het geheugen, gebruikt voor initiële initialisatie in het stadium voordat de FS wordt gemonteerd.

In plaats van een ramdisk-image begin, het hele systeem kan worden verpakt in de UKI, waardoor het mogelijk is om volledig geverifieerde systeemomgevingen te creëren die in het RAM worden geladen. De UKI-image is verpakt als een uitvoerbaar bestand in PE-formaat, dat niet alleen kan worden geladen met traditionele bootloaders, maar ook rechtstreeks vanuit de UEFI-firmware kan worden aangeroepen.

De mogelijkheid om te bellen vanuit UEFI maakt het gebruik van de geldigheid en integriteitscontrole van een digitale handtekening mogelijk die niet alleen de kernel omvat, maar ook de inhoud van de initrd. Tegelijkertijd maakt ondersteuning voor aanroepen van traditionele bootloaders het mogelijk om functies op te slaan, zoals het leveren van meerdere kernelversies en automatisch terugdraaien naar een werkende kernel in het geval dat problemen met de nieuwe kernel worden gedetecteerd na het installeren van de laatste kernel.update.

nog, de meeste Linux-distributies gebruiken ketting "firmware → digitaal ondertekende Microsoft shim-laag → digitaal ondertekende distributie GRUB bootloader → digitaal ondertekende distributie Linux-kernel → niet-ondertekende initrd-omgeving → FS root" in het initialisatieproces. Ontbrekende initrd-controle in traditionele distributies creëert veiligheidsproblemen, aangezien deze omgeving onder andere sleutels extraheert om de FS-root te decoderen.

Verificatie van initrd-afbeelding wordt niet ondersteund, aangezien dit bestand wordt gegenereerd op het lokale systeem van de gebruiker en niet kan worden gecertificeerd door de digitale handtekening van de distributie, wat het erg moeilijk maakt om verificatie te organiseren wanneer de SecureBoot-modus wordt gebruikt (om de initrd te verifiëren, moet de gebruiker uw sleutels genereren en deze in de UEFI-firmware).

Bovendien heeft de bestaande opstartorganisatie staat het gebruik van informatie uit de TPM PCR-registers niet toe (Platform Configuration Registry) om de integriteit van andere gebruikersruimtecomponenten dan shim, grub en kernel te controleren. Onder de bestaande problemen worden ook de complicatie van het updaten van de bootloader en het onvermogen om de toegang tot sleutels in de TPM te beperken voor oudere versies van het besturingssysteem die irrelevant zijn geworden na het installeren van de update genoemd.

De belangrijkste doelstellingen van de uitvoering de nieuwe opstartarchitectuur:

  • Zorg voor een volledig geverifieerd downloadproces dat alle stadia van firmware tot gebruikersruimte omvat en de geldigheid en integriteit van gedownloade componenten bevestigt.
  • Koppeling van gecontroleerde bronnen aan TPM PCR-registers met scheiding door eigenaren.
  • Mogelijkheid om PCR-waarden vooraf te berekenen op basis van kernel boot, initrd, configuratie en lokale systeem-ID.
  • Bescherming tegen terugdraaiaanvallen die gepaard gaan met het terugkeren naar de vorige kwetsbare versie van het systeem.
  • Vereenvoudig en verbeter de betrouwbaarheid van updates.
  • Ondersteuning voor upgrades van het besturingssysteem waarvoor het niet nodig is om TPM-beveiligde bronnen lokaal opnieuw toe te passen of in te richten.
  • Het systeem voorbereiden voor certificering op afstand om de juistheid van het besturingssysteem en de opstartconfiguratie te bevestigen.
  • De mogelijkheid om gevoelige gegevens aan bepaalde opstartfasen te koppelen, bijvoorbeeld door coderingssleutels voor de FS-root uit de TPM te extraheren.
  • Zorg voor een veilig, automatisch en stil proces om sleutels te ontgrendelen om een ​​schijf met een rootpartitie te decoderen.
  • Het gebruik van chips die de TPM 2.0-specificatie ondersteunen, met de mogelijkheid om terug te vallen op systemen zonder TPM.

De nodige veranderingen om de nieuwe architectuur te implementeren zijn al opgenomen in de systemd codebase en beïnvloeden componenten zoals systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase en systemd-creds.

Eindelijk als u er meer over wilt wetenkunt u de details in het volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Luix zei
    geleden Tot 2 jaar

    Nog meer rotzooi van lennart..

    Reageer op luix