Ei propun să modernizeze procesul de pornire Linux

Darkcrizt

Minute 4

Cizme de încredere

Noul boot Linux va funcționa bine în viitor, cu accent pe robustețe și simplitate.

Lennart Poettering (creatorul Systemd) a făcut-o cunoscută recent o propunere de modernizare a procesului de boot a distribuțiilor de Linux, cu scopul de a rezolva problemele existente și simplificați organizarea unui boot complet verificat, confirmând autenticitatea nucleului și a mediului de sistem subiacent.

Modificări propuse sunt reduse la crearea unei singure imagini universale UKI (Imaginea nucleului unificat) care îmbină imaginea nucleului Driver Linux pentru a încărca nucleul din UEFI (UEFI boot stub) iar mediul de sistem initrd încărcat în memorie, folosit pentru inițializarea în etapa înainte de montarea FS.

În loc de o imagine de disc ram initrd, întregul sistem poate fi ambalat în UKI, permițând crearea de medii de sistem complet verificate care sunt încărcate în RAM. Imaginea UKI este ambalată ca fișier executabil în format PE, care nu poate fi încărcat doar cu bootloadere tradiționale, dar poate fi apelat și direct din firmware-ul UEFI.

Abilitatea de a apela de la UEFI permite utilizarea unei semnături digitale a validității și a verificării integrității care acoperă nu numai nucleul, ci și conținutul initrd-ului. În același timp, suportul pentru apeluri de la încărcătoarele tradiționale permite salvarea unor funcții precum livrarea mai multor versiuni de kernel și revenirea automată la un nucleu funcțional în cazul în care sunt detectate probleme cu noul nucleu după instalarea celei mai recente actualizări de kernel.

În prezent, majoritatea distribuțiilor Linux folosesc lanţ „firmware → strat shim Microsoft semnat digital → distribuție semnată digital Bootloader GRUB → distribuție semnat digital kernel Linux → mediu initrd nesemnat → rădăcină FS” în procesul de inițializare. Lipsește verificarea initrd în distribuţiile tradiţionale creează probleme de securitate, deoarece, printre altele, acest mediu extrage chei pentru a decripta rădăcina FS.

Verificarea imaginii initrd nu este acceptată, deoarece acest fișier este generat pe sistemul local al utilizatorului și nu poate fi certificat prin semnătura digitală a distribuției, ceea ce face foarte dificilă organizarea verificării atunci când utilizați modul SecureBoot (pentru a verifica initrd-ul, utilizatorul trebuie să vă genereze cheile și să le încarce în firmware-ul UEFI).

În plus, organizația existentă de boot nu permite utilizarea informațiilor din registrele TPM PCR (Registrul de configurare a platformei) pentru a controla integritatea componentelor spațiului utilizator, altele decât shim, grub și kernel. Printre problemele existente, sunt menționate și complicația actualizării bootloader-ului și incapacitatea de a restricționa accesul la chei din TPM pentru versiunile mai vechi ale sistemului de operare care au devenit irelevante după instalarea actualizării.

Principalele obiective ale implementării noua arhitectură de boot:

  • Furnizați un proces de descărcare complet verificat, care să acopere toate etapele de la firmware la spațiul utilizatorului și confirmând validitatea și integritatea componentelor descărcate.
  • Conectarea resurselor controlate la registrele TPM PCR cu separare de către proprietari.
  • Abilitatea de a precalcula valorile PCR pe baza pornirii kernelului, initrd, configurare și ID-ul sistemului local.
  • Protecție împotriva atacurilor de rollback asociate cu revenirea la versiunea vulnerabilă anterioară a sistemului.
  • Simplificați și îmbunătățiți fiabilitatea actualizărilor.
  • Suport pentru upgrade-uri ale sistemului de operare care nu necesită reaplicarea sau furnizarea locală a resurselor protejate de TPM.
  • Pregătirea sistemului pentru certificarea de la distanță pentru a confirma corectitudinea sistemului de operare și a configurației de pornire.
  • Capacitatea de a atașa date sensibile la anumite etape de pornire, de exemplu prin extragerea cheilor de criptare pentru rădăcina FS din TPM.
  • Oferiți un proces sigur, automat și silentios pentru a debloca cheile pentru a decripta o unitate cu o partiție rădăcină.
  • Utilizarea de cipuri care acceptă specificația TPM 2.0, cu capacitatea de a reveni la sistemele fără TPM.

Schimbările necesare pentru a implementa noua arhitectură sunt deja incluse în baza de cod systemd și afectează componente precum systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase și systemd-creds.

În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile în următorul link.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   luix el a spus
    hace Ani 2

    Mai mult gunoi de la lennart..

    Răspunde la luix