Леннарт Поэттеринг (создатель Systemd) сделал это известным в последнее время предложение по модернизации процесса загрузки распределений Linux, с целью решения существующих проблем и упростить организацию полной верифицированной загрузки, подтверждающей подлинность ядра и базовой системной среды.
Предлагаемые изменения сводятся к создание единого универсального образа UKI (Единый образ ядра) который объединяет образ ядра Драйвер Linux для загрузки ядра из UEFI (загрузочная заглушка UEFI) и системная среда initrd загружается в память, используется для начальной инициализации на этапе перед монтированием ФС.
Вместо образа ramdisk initrd, вся система может быть упакована в UKI, что позволяет создавать полностью проверенные системные среды, загружаемые в оперативную память. Образ UKI запакован в виде исполняемого файла в формате PE, который можно не только загружать традиционными загрузчиками, но и вызывать непосредственно из прошивки UEFI.
Возможность вызова из UEFI позволяет использовать проверку действительности и целостности цифровой подписи. который охватывает не только ядро, но и содержимое файла initrd. При этом поддержка вызовов от традиционных загрузчиков позволяет сохранить такие функции, как поставка нескольких версий ядра и автоматический откат к работающему ядру в случае обнаружения проблем с новым ядром после установки последней версии обновления.
В настоящее время, большинство дистрибутивов Linux используют цепь «микропрограмма → слой оболочки Microsoft с цифровой подписью → загрузчик GRUB дистрибутива с цифровой подписью → ядро Linux для дистрибутива с цифровой подписью → неподписанная среда initrd → корень FS» в процессе инициализации. Отсутствует проверка initrd в традиционных дистрибутивах создает проблемы с безопасностью, так как в том числе эта среда извлекает ключи для расшифровки корня ФС.
Проверка образа initrd не поддерживается, так как этот файл генерируется на локальной системе пользователя и не может быть заверен ЭЦП дистрибутива, что очень затрудняет организацию проверки при использовании режима SecureBoot (для проверки initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивка UEFI).
Кроме того, существующая организация загрузки не позволяет использовать информацию из регистров TPM PCR (Реестр конфигурации платформы) для контроля целостности компонентов пользовательского пространства, кроме прокладки, grub и ядра. Среди существующих проблем также упоминается усложнение обновления загрузчика и невозможность ограничить доступ к ключам в TPM для старых версий операционной системы, ставших неактуальными после установки обновления.
Основные цели реализации новая архитектура загрузки:
- Обеспечьте полностью проверенный процесс загрузки, охватывающий все этапы от микропрограммы до пользовательского пространства и подтверждающий достоверность и целостность загруженных компонентов.
- Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
- Возможность предварительного вычисления значений PCR на основе загрузки ядра, initrd, конфигурации и идентификатора локальной системы.
- Защита от атак отката, связанных с возвратом к предыдущей уязвимой версии системы.
- Упростите и повысьте надежность обновлений.
- Поддержка обновлений ОС, которые не требуют повторного применения или подготовки ресурсов, защищенных TPM, локально.
- Подготовка системы к удаленной сертификации для подтверждения правильности конфигурации операционной системы и загрузки.
- Возможность прикреплять конфиденциальные данные к определенным этапам загрузки, например, путем извлечения ключей шифрования для корня FS из TPM.
- Обеспечьте безопасный, автоматический и бесшумный процесс разблокировки ключей для расшифровки диска с корневым разделом.
- Использование микросхем, поддерживающих спецификацию TPM 2.0, с возможностью возврата к системам без TPM.
Необходимые изменения внедрить новую архитектуру уже включены в кодовую базу systemd и влияют на такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.
Очередной бред от Леннарта..