新的 Linux 引導將在未來很好地工作,重點是健壯性和簡單性。
倫納特·波特林 (Systemd 的創建者) 廣為人知 最近 使引導過程現代化的建議 的分佈 Linux,旨在解決現有問題 並簡化完全驗證啟動的組織,確認內核和底層系統環境的真實性。
提議的變更 減少到 創建一個通用的 UKI 圖像 (統一內核映像) 合併內核映像 用於從 UEFI 加載內核的 Linux 驅動程序(UEFI 引導存根) 並將系統環境initrd加載到內存中,用於掛載FS前階段的初始初始化。
而不是 ramdisk 映像 初始化, 整個系統可以裝在UKI中,允許創建加載到 RAM 中的完全驗證的系統環境。 UKI鏡像被打包成PE格式的可執行文件,不僅可以用傳統的bootloader加載,還可以直接從UEFI固件中調用。
從 UEFI 調用的能力允許使用數字簽名有效性和完整性檢查 它不僅包括內核,還包括 initrd 的內容。 同時,對來自傳統引導加載程序的調用的支持允許保存諸如交付多個內核版本以及在安裝最新版本後檢測到新內核出現問題時自動回滾到工作內核等功能。
目前, 大多數 Linux 發行版使用 鏈 “固件 → 數字簽名 Microsoft shim 層 → 數字簽名分發 GRUB 引導加載程序 → 數字簽名分發 Linux 內核 → 未簽名 initrd 環境 → FS 根” 在初始化過程中。 缺少 initrd 檢查 在傳統分佈中 產生安全問題,因為除其他外,此環境提取密鑰以解密 FS 根。
不支持驗證 initrd 映像, 由於這個文件是在用戶本地系統上生成的,無法通過發行版的數字簽名認證,這使得在使用 SecureBoot 模式時很難組織驗證(要驗證 initrd,用戶需要生成您的密鑰並將其加載到UEFI 固件)。
另外, 現有的引導組織不允許使用來自 TPM PCR 寄存器的信息 (平台配置註冊表)用於控制除 shim、grub 和內核之外的用戶空間組件的完整性。 在現有問題中,還提到了更新引導加載程序的複雜性以及無法限制對舊版本操作系統的 TPM 中密鑰的訪問,這些問題在安裝更新後變得無關緊要。
實施的主要目標 新的引導架構:
- 提供經過全面驗證的下載流程,涵蓋從固件到用戶空間的所有階段,並確認下載組件的有效性和完整性。
- 將受控資源鏈接到 TPM PCR 寄存器,並由所有者分開。
- 能夠根據內核啟動、initrd、配置和本地系統 ID 預先計算 PCR 值。
- 防止與恢復到先前易受攻擊的系統版本相關的回滾攻擊。
- 簡化並提高更新的可靠性。
- 支持不需要在本地重新應用或配置受 TPM 保護的資源的操作系統升級。
- 準備系統進行遠程認證,以確認操作系統和引導配置的正確性。
- 將敏感數據附加到某些引導階段的能力,例如通過從 TPM 中提取 FS 根的加密密鑰。
- 提供安全、自動和靜默的過程來解鎖密鑰以解密具有根分區的驅動器。
- 使用支持 TPM 2.0 規範的芯片,能夠回退到沒有 TPM 的系統。
必要的改變 實施新架構 已經包含在 systemd 代碼庫中 並影響諸如 systemd-stub、systemd-measure、systemd-cryptenroll、systemd-cryptsetup、systemd-pcrphase 和 systemd-creds 等組件。
終於 如果您有興趣了解更多信息,您可以在中查看詳細信息 以下鏈接。
來自lennart的更多垃圾..