Предлагают модернизировать процесс загрузки Linux

Darkcrizt

4 минут

Надежная загрузка

Новая загрузка Linux будет хорошо работать в будущем с упором на надежность и простоту.

Леннарт Поэттеринг (создатель Systemd) сделал это известным в последнее время предложение по модернизации процесса загрузки распределений Linux, с целью решения существующих проблем и упростить организацию полной верифицированной загрузки, подтверждающей подлинность ядра и базовой системной среды.

Предлагаемые изменения сводятся к создание единого универсального образа UKI (Единый образ ядра) который объединяет образ ядра Драйвер Linux для загрузки ядра из UEFI (загрузочная заглушка UEFI) и системная среда initrd загружается в память, используется для начальной инициализации на этапе перед монтированием ФС.

Вместо образа ramdisk initrd, вся система может быть упакована в UKI, что позволяет создавать полностью проверенные системные среды, загружаемые в оперативную память. Образ UKI запакован в виде исполняемого файла в формате PE, который можно не только загружать традиционными загрузчиками, но и вызывать непосредственно из прошивки UEFI.

Возможность вызова из UEFI позволяет использовать проверку действительности и целостности цифровой подписи. который охватывает не только ядро, но и содержимое файла initrd. При этом поддержка вызовов от традиционных загрузчиков позволяет сохранить такие функции, как поставка нескольких версий ядра и автоматический откат к работающему ядру в случае обнаружения проблем с новым ядром после установки последней версии обновления.

В настоящее время, большинство дистрибутивов Linux используют цепь «микропрограмма → слой оболочки Microsoft с цифровой подписью → загрузчик GRUB дистрибутива с цифровой подписью → ядро ​​​​Linux для дистрибутива с цифровой подписью → неподписанная среда initrd → корень FS» в процессе инициализации. Отсутствует проверка initrd в традиционных дистрибутивах создает проблемы с безопасностью, так как в том числе эта среда извлекает ключи для расшифровки корня ФС.

Проверка образа initrd не поддерживается, так как этот файл генерируется на локальной системе пользователя и не может быть заверен ЭЦП дистрибутива, что очень затрудняет организацию проверки при использовании режима SecureBoot (для проверки initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивка UEFI).

Кроме того, существующая организация загрузки не позволяет использовать информацию из регистров TPM PCR (Реестр конфигурации платформы) для контроля целостности компонентов пользовательского пространства, кроме прокладки, grub и ядра. Среди существующих проблем также упоминается усложнение обновления загрузчика и невозможность ограничить доступ к ключам в TPM для старых версий операционной системы, ставших неактуальными после установки обновления.

Основные цели реализации новая архитектура загрузки:

  • Обеспечьте полностью проверенный процесс загрузки, охватывающий все этапы от микропрограммы до пользовательского пространства и подтверждающий достоверность и целостность загруженных компонентов.
  • Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
  • Возможность предварительного вычисления значений PCR на основе загрузки ядра, initrd, конфигурации и идентификатора локальной системы.
  • Защита от атак отката, связанных с возвратом к предыдущей уязвимой версии системы.
  • Упростите и повысьте надежность обновлений.
  • Поддержка обновлений ОС, которые не требуют повторного применения или подготовки ресурсов, защищенных TPM, локально.
  • Подготовка системы к удаленной сертификации для подтверждения правильности конфигурации операционной системы и загрузки.
  • Возможность прикреплять конфиденциальные данные к определенным этапам загрузки, например, путем извлечения ключей шифрования для корня FS из TPM.
  • Обеспечьте безопасный, автоматический и бесшумный процесс разблокировки ключей для расшифровки диска с корневым разделом.
  • Использование микросхем, поддерживающих спецификацию TPM 2.0, с возможностью возврата к системам без TPM.

Необходимые изменения внедрить новую архитектуру уже включены в кодовую базу systemd и влияют на такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.

В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Люкс сказал
    тому назад 1 год

    Очередной бред от Леннарта..

    Ответить luix