Navrhujú modernizovať proces zavádzania Linuxu

Darkcrizt

4 minút

Dôveryhodné zavádzanie

Nové zavádzanie Linuxu bude fungovať aj v budúcnosti so zameraním na robustnosť a jednoduchosť.

Lennart Poettering (tvorca Systemd) oznámil to nedávno návrh na modernizáciu procesu zavádzania distribúcií Linuxu, s cieľom vyriešiť existujúce problémy a zjednodušiť organizáciu úplne overeného zavádzania, čím sa potvrdí pravosť jadra a základného systémového prostredia.

Navrhované zmeny sú redukované na vytvorenie jednotného univerzálneho obrazu UKI (Obrázok zjednoteného jadra) ktorý spája obraz jadra Linuxový ovládač na načítanie jadra z UEFI (UEFI boot stub) a systémové prostredie initrd načítané do pamäte, slúži na prvotnú inicializáciu vo fáze pred montážou FS.

Namiesto obrazu ramdisku initrd, celý systém je možné zabaliť do UKI, čo umožňuje vytvorenie plne overených systémových prostredí, ktoré sa načítajú do pamäte RAM. Obrázok UKI je zabalený ako spustiteľný súbor vo formáte PE, ktorý je možné nielen načítať pomocou tradičných bootloaderov, ale je možné ho vyvolať aj priamo z firmvéru UEFI.

Schopnosť volať z UEFI umožňuje použitie kontroly platnosti a integrity digitálneho podpisu ktorý pokrýva nielen jadro, ale aj obsah initrd. Zároveň podpora volaní z tradičných bootloaderov umožňuje ukladanie funkcií, ako je poskytovanie viacerých verzií jadra a automatický návrat späť k fungujúcemu jadru v prípade, že sa po inštalácii najnovšej verzie zistia problémy s novým jadrom.

V súčasnej dobe, používa väčšina distribúcií Linuxu reťaz "firmvér → digitálne podpísaná vrstva shim Microsoft → digitálne podpísaná distribúcia zavádzač GRUB → digitálne podpísaná distribúcia Linuxové jadro → nepodpísané prostredie initrd → koreň FS" v procese inicializácie. Chýba kontrola initrd v tradičných distribúciách vytvára bezpečnostné problémy, keďže toto prostredie okrem iného extrahuje kľúče na dešifrovanie koreňového adresára FS.

Overenie initrd obrazu nie je podporované, keďže tento súbor je generovaný v lokálnom systéme používateľa a nemôže byť certifikovaný digitálnym podpisom distribúcie, čo veľmi sťažuje organizáciu overovania pri použití režimu SecureBoot (na overenie initrd musí používateľ vygenerovať vaše kľúče a načítať ich do firmvér UEFI).

Okrem toho, existujúca zavádzacia organizácia neumožňuje použitie informácií z registrov TPM PCR (Platform Configuration Registry) na kontrolu integrity komponentov používateľského priestoru iných ako shim, grub a kernel. Medzi existujúcimi problémami sa spomína aj komplikácia aktualizácie bootloadera a nemožnosť obmedziť prístup ku kľúčom v TPM pre staršie verzie operačného systému, ktoré sa po inštalácii aktualizácie stali irelevantnými.

Hlavné ciele implementácie nová architektúra zavádzania:

  • Poskytnite plne overený proces sťahovania, ktorý pokrýva všetky fázy od firmvéru po používateľský priestor a potvrdzuje platnosť a integritu stiahnutých komponentov.
  • Napojenie riadených zdrojov na registre TPM PCR s oddelením podľa vlastníkov.
  • Schopnosť vopred vypočítať hodnoty PCR na základe bootovania jadra, initrd, konfigurácie a ID lokálneho systému.
  • Ochrana pred rollback útokmi spojenými s návratom k predchádzajúcej zraniteľnej verzii systému.
  • Zjednodušte a zvýšte spoľahlivosť aktualizácií.
  • Podpora pre inovácie operačného systému, ktoré nevyžadujú opätovné použitie alebo poskytovanie prostriedkov chránených modulom TPM lokálne.
  • Príprava systému na vzdialenú certifikáciu na potvrdenie správnosti operačného systému a konfigurácie zavádzania.
  • Schopnosť pripojiť citlivé údaje k určitým fázam zavádzania, napríklad extrahovaním šifrovacích kľúčov pre koreň FS z TPM.
  • Poskytnite bezpečný, automatický a tichý proces na odomknutie kľúčov na dešifrovanie disku s koreňovým oddielom.
  • Použitie čipov, ktoré podporujú špecifikáciu TPM 2.0, so schopnosťou vrátiť sa k systémom bez TPM.

Potrebné zmeny implementovať novú architektúru sú už zahrnuté v kódovej základni systemd a ovplyvňujú komponenty ako systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase a systemd-creds.

Konečne ak máte záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti v nasledujúci odkaz.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Za údaje zodpovedá: AB Internet Networks 2008 SL
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.

  1.   luix dijo
    hace 2 rokov

    Ďalší odpad od lennarta.

    Odpovedať luix