De föreslår att modernisera Linux-startprocessen

Darkcrizt

4 minuter

Förtroende Boot

Den nya Linux-starten kommer att fungera långt in i framtiden med fokus på robusthet och enkelhet.

Lennart Poettering (skaparen av Systemd) gjorde det känt nyligen ett förslag om att modernisera startprocessen av distributioner av Linux, med syftet att lösa befintliga problem och förenkla organisationen av en fullständigt verifierad uppstart, vilket bekräftar äktheten av kärnan och den underliggande systemmiljön.

Föreslagna ändringar reduceras till skapande av en enda universell UKI-bild (Unified Kernel Image) som sammanfogar kärnbilden Linux-drivrutin för att ladda kärnan från UEFI (UEFI boot stub) och systemmiljön initrd laddas in i minnet, används för initial initiering vid steget före montering av FS.

Istället för en ramdisk-avbildning initrd, hela systemet kan packas i UKI, vilket möjliggör skapandet av helt verifierade systemmiljöer som laddas in i RAM. UKI-avbildningen är paketerad som en körbar fil i PE-format, som inte bara kan laddas med traditionella bootloaders, utan även kan anropas direkt från UEFI-firmware.

Möjligheten att ringa från UEFI tillåter användning av en digital signaturs giltighet och integritetskontroll som täcker inte bara kärnan utan även innehållet i initrd. Samtidigt tillåter stöd för samtal från traditionella starthanterare att spara funktioner som att leverera flera kärnversioner och automatiskt återgå till en fungerande kärna i fall problem med den nya kärnan upptäcks efter installation av den senaste versionen.

För närvarande, de flesta Linux-distributioner använder kedja "firmware → digitalt signerad Microsoft shim layer → digitalt signerad distribution GRUB bootloader → digitalt signerad distribution Linux kärna → osignerad initrd miljö → FS root" i initieringsprocessen. Initrd check saknas i traditionella distributioner skapar säkerhetsproblem, eftersom bland annat denna miljö extraherar nycklar för att dekryptera FS-roten.

Verifiering av initrd-bild stöds inte, eftersom den här filen genereras på användarens lokala system och inte kan certifieras av distributionens digitala signatur, vilket gör det mycket svårt att organisera verifiering när du använder SecureBoot-läge (för att verifiera initrd måste användaren generera dina nycklar och ladda dem i UEFI-firmware).

Dessutom, den befintliga startorganisationen tillåter inte användning av information från TPM PCR-registren (Platform Configuration Registry) för att kontrollera integriteten för andra användarutrymmeskomponenter än shim, grub och kernel. Bland de befintliga problemen nämns också komplikationen med att uppdatera bootloadern och oförmågan att begränsa åtkomsten till nycklar i TPM för äldre versioner av operativsystemet som har blivit irrelevanta efter installation av uppdateringen.

De huvudsakliga målen för genomförandet den nya startarkitekturen:

  • Tillhandahåll en fullständigt verifierad nedladdningsprocess som täcker alla steg från firmware till användarutrymme och bekräftar giltigheten och integriteten för nedladdade komponenter.
  • Länkning av kontrollerade resurser till TPM PCR-register med separation av ägare.
  • Möjlighet att förberäkna PCR-värden baserat på kärnstart, initrd, konfiguration och lokalt system-ID.
  • Skydd mot återställningsattacker i samband med återgång till den tidigare sårbara versionen av systemet.
  • Förenkla och förbättra tillförlitligheten för uppdateringar.
  • Stöd för OS-uppgraderingar som inte kräver återanvändning eller provisionering av TPM-skyddade resurser lokalt.
  • Förbereder systemet för fjärrcertifiering för att bekräfta att operativsystemet och startkonfigurationen är korrekt.
  • Möjligheten att bifoga känslig data till vissa startsteg, till exempel genom att extrahera krypteringsnycklar för FS-roten från TPM.
  • Ge en säker, automatisk och tyst process för att låsa upp nycklar för att dekryptera en enhet med en rotpartition.
  • Användningen av chips som stöder TPM 2.0-specifikationen, med möjligheten att falla tillbaka till system utan TPM.

De nödvändiga förändringarna att implementera den nya arkitekturen är redan inkluderade i systemkodbasen och påverkar komponenter som systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase och systemd-creds.

Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna i följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   luix sade
    sedan 2 år

    Mer skräp från Lennart..

    Svara på luix