Predlagajo posodobitev zagonskega procesa Linuxa

Darkcrizt

4 minut

Trusted Boot

Novi zagon Linuxa bo deloval tudi v prihodnosti s poudarkom na robustnosti in preprostosti.

Lennart Poettering (ustvarjalec Systemd) dal vedeti pred kratkim predlog za posodobitev zagonskega procesa distribucij Linuxa, z namenom reševanja obstoječih težav in poenostavite organizacijo popolnega preverjenega zagona, ki potrjuje pristnost jedra in osnovnega sistemskega okolja.

Predlagane spremembe se zmanjšajo na ustvarjanje enotne univerzalne podobe UKI (Poenotena slika jedra) ki združuje sliko jedra Gonilnik za Linux za nalaganje jedra iz UEFI (zagonska škrbina UEFI) in sistemsko okolje initrd naloženo v pomnilnik, ki se uporablja za začetno inicializacijo na stopnji pred namestitvijo FS.

Namesto slike ramdiska initrd, celoten sistem se lahko zapakira v UKI, kar omogoča ustvarjanje popolnoma preverjenih sistemskih okolij, ki so naložena v RAM. Slika UKI je zapakirana kot izvršljiva datoteka v formatu PE, ki je ni mogoče naložiti le s tradicionalnimi zagonskimi programi, ampak jo je mogoče priklicati tudi neposredno iz vdelane programske opreme UEFI.

Možnost klica iz UEFI omogoča uporabo preverjanja veljavnosti in celovitosti digitalnega podpisa ki ne pokriva le jedra, ampak tudi vsebino initrd. Hkrati podpora za klice iz tradicionalnih zagonskih nalagalnikov omogoča shranjevanje funkcij, kot je dostava več različic jedra in samodejno vrnitev nazaj na delujoče jedro, če se po namestitvi najnovejše različice odkrijejo težave z novim jedrom.

Trenutno uporablja večina distribucij Linuxa veriga "firmware → digitalno podpisan sloj Microsoft shim → digitalno podpisan distribucijski zagonski nalagalnik GRUB → digitalno podpisano distribucijsko jedro Linux → nepodpisano initrd okolje → FS root" v procesu inicializacije. Manjka preverjanje initrd v tradicionalnih distribucijah ustvarja varnostne težave, saj med drugim to okolje ekstrahira ključe za dešifriranje korena FS.

Preverjanje initrd slike ni podprto, saj je ta datoteka ustvarjena v uporabnikovem lokalnem sistemu in je ni mogoče potrditi z digitalnim podpisom distribucije, zaradi česar je zelo težko organizirati preverjanje pri uporabi načina SecureBoot (za preverjanje initrd mora uporabnik ustvariti vaše ključe in jih naložiti v vdelana programska oprema UEFI).

Poleg tega, obstoječa zagonska organizacija ne dovoljuje uporabe informacij iz registrov TPM PCR (Register konfiguracije platforme) za nadzor celovitosti komponent uporabniškega prostora, razen shim, grub in jedra. Med obstoječimi težavami omenjajo tudi zaplet pri posodabljanju zagonskega nalagalnika in nezmožnost omejitve dostopa do ključev v TPM za starejše različice operacijskega sistema, ki so po namestitvi posodobitve postale nepomembne.

Glavni cilji izvajanja nova zagonska arhitektura:

  • Zagotovite popolnoma preverjen postopek prenosa, ki zajema vse faze od vdelane programske opreme do uporabniškega prostora ter potrjuje veljavnost in celovitost prenesenih komponent.
  • Povezovanje nadzorovanih virov z registri TPM PCR z ločevanjem po lastnikih.
  • Zmožnost vnaprejšnjega izračuna vrednosti PCR na podlagi zagona jedra, initrd, konfiguracije in ID-ja lokalnega sistema.
  • Zaščita pred napadi povrnitve, povezanimi z vrnitvijo na prejšnjo ranljivo različico sistema.
  • Poenostavite in izboljšajte zanesljivost posodobitev.
  • Podpora za nadgradnje OS, ki ne zahtevajo ponovne uporabe ali zagotavljanja virov, zaščitenih s TPM, lokalno.
  • Priprava sistema na oddaljeno certificiranje za potrditev pravilnosti operacijskega sistema in konfiguracije zagona.
  • Možnost pripenjanja občutljivih podatkov v določene zagonske faze, na primer z ekstrahiranjem šifrirnih ključev za koren FS iz TPM.
  • Zagotovite varen, samodejen in tih postopek za odklepanje ključev za dešifriranje pogona s korensko particijo.
  • Uporaba čipov, ki podpirajo specifikacijo TPM 2.0, z možnostjo vrnitve na sisteme brez TPM.

Potrebne spremembe za uvedbo nove arhitekture so že vključeni v kodno zbirko systemd in vplivajo na komponente, kot so systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase in systemd-creds.

Končno če vas zanima več o tem, podrobnosti lahko preverite v naslednja povezava.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   luix je dejal
    nazaj 2 let

    Več smeti od Lennarta..

    Odgovori na luix