新的 Linux 引导将在未来很好地工作,重点是健壮性和简单性。
伦纳特·波特林 (Systemd 的创建者) 广为人知 最近 使引导过程现代化的建议 分布 Linux,旨在解决现有问题 并简化完全验证启动的组织,确认内核和底层系统环境的真实性。
提议的变更 减少到 创建一个通用的 UKI 图像 (统一内核映像) 合并内核映像 用于从 UEFI 加载内核的 Linux 驱动程序(UEFI 引导存根) 并将系统环境initrd加载到内存中,用于挂载FS前阶段的初始初始化。
而不是 ramdisk 映像 初始化, 整个系统可以装在UKI中,允许创建加载到 RAM 中的完全验证的系统环境。 UKI镜像被打包成PE格式的可执行文件,不仅可以用传统的bootloader加载,还可以直接从UEFI固件中调用。
从 UEFI 调用的能力允许使用数字签名有效性和完整性检查 它不仅包括内核,还包括 initrd 的内容。 同时,对来自传统引导加载程序的调用的支持允许保存诸如交付多个内核版本以及在安装最新版本后检测到新内核出现问题时自动回滚到工作内核等功能。
目前, 大多数 Linux 发行版使用 链 “固件 → 数字签名 Microsoft shim 层 → 数字签名分发 GRUB 引导加载程序 → 数字签名分发 Linux 内核 → 未签名 initrd 环境 → FS 根” 在初始化过程中。 缺少 initrd 检查 在传统分布中 产生安全问题,因为除其他外,此环境提取密钥以解密 FS 根。
不支持验证 initrd 映像, 由于这个文件是在用户本地系统上生成的,无法通过发行版的数字签名认证,这使得在使用 SecureBoot 模式时组织验证非常困难(要验证 initrd,用户需要生成您的密钥并将其加载到UEFI 固件)。
另外, 现有的引导组织不允许使用来自 TPM PCR 寄存器的信息 (平台配置注册表)用于控制除 shim、grub 和内核之外的用户空间组件的完整性。 在现有问题中,还提到了更新引导加载程序的复杂性以及无法限制对旧版本操作系统的 TPM 中密钥的访问,这些问题在安装更新后变得无关紧要。
实施的主要目标 新的引导架构:
- 提供完全验证的下载过程,涵盖从固件到用户空间的所有阶段,并确认下载组件的有效性和完整性。
- 将受控资源链接到 TPM PCR 寄存器,并由所有者分开。
- 能够根据内核启动、initrd、配置和本地系统 ID 预先计算 PCR 值。
- 防止与恢复到先前易受攻击的系统版本相关的回滚攻击。
- 简化并提高更新的可靠性。
- 支持不需要在本地重新应用或配置受 TPM 保护的资源的操作系统升级。
- 准备系统进行远程认证,以确认操作系统和引导配置的正确性。
- 将敏感数据附加到某些引导阶段的能力,例如通过从 TPM 中提取 FS 根的加密密钥。
- 提供安全、自动和静默的过程来解锁密钥以解密具有根分区的驱动器。
- 使用支持 TPM 2.0 规范的芯片,能够回退到没有 TPM 的系统。
必要的改变 实施新架构 已经包含在 systemd 代码库中 并影响诸如 systemd-stub、systemd-measure、systemd-cryptenroll、systemd-cryptsetup、systemd-pcrphase 和 systemd-creds 等组件。
最后 如果您有兴趣了解更多有关它的信息,您可以在中查看详细信息 以下链接。
来自lennart的更多垃圾..