يقترحون تحديث عملية تمهيد Linux

لينارت بوترينج (منشئ Systemd) كشف النقاب مؤخرا اقتراح لتحديث عملية التمهيد التوزيعات لينكس بهدف حل المشاكل القائمة وتبسيط تنظيم التمهيد الكامل الذي تم التحقق منه ، مما يؤكد صحة النواة وبيئة النظام الأساسية.

التغييرات المقترحة يتم تقليلها إلى إنشاء صورة UKI عالمية واحدة (صورة النواة الموحدة) الذي يدمج صورة النواة برنامج تشغيل Linux لتحميل kernel من UEFI (كعب التمهيد UEFI) وتحميل initrd بيئة النظام في الذاكرة، تستخدم للتهيئة الأولية في المرحلة قبل تركيب الخدمة الثابتة.

بدلا من صورة رامديسك initrd ، يمكن تعبئة النظام بأكمله في UKI، مما يسمح بإنشاء بيئات نظام تم التحقق منها بالكامل يتم تحميلها في ذاكرة الوصول العشوائي. يتم حزم صورة UKI كملف قابل للتنفيذ بتنسيق PE ، والذي لا يمكن تحميله فقط باستخدام محمل الإقلاع التقليدي ، ولكن يمكن أيضًا استدعاؤه مباشرة من برنامج UEFI الثابت.

تسمح القدرة على الاتصال من UEFI باستخدام التحقق من صحة التوقيع الرقمي وسلامته الذي لا يغطي فقط النواة ، ولكن أيضًا محتويات الحرف الأول. في الوقت نفسه ، يتيح دعم المكالمات من محمل الإقلاع التقليدي توفير ميزات مثل تقديم إصدارات متعددة من kernel والعودة تلقائيًا إلى نواة عاملة في حالة اكتشاف مشاكل مع kernel الجديد بعد تثبيت آخر تحديث لـ kernel.

حاليا، تستخدم معظم توزيعات Linux سلسلة "البرامج الثابتة ← طبقة رقائق Microsoft الموقعة رقميًا ← محمل التمهيد GRUB للتوزيع الموقّع رقميًا ← توزيع Linux kernel الموقّع رقميًا ← بيئة initrd غير موقعة ← جذر FS" في عملية التهيئة. فحص initrd مفقود في التوزيعات التقليدية يخلق مشاكل أمنيةنظرًا لأن هذه البيئة ، من بين أمور أخرى ، تستخرج مفاتيح لفك تشفير جذر FS.

لا يتم دعم التحقق من الصورة الأولية، نظرًا لأن هذا الملف يتم إنشاؤه على النظام المحلي للمستخدم ولا يمكن اعتماده من خلال التوقيع الرقمي للتوزيع ، مما يجعل من الصعب جدًا تنظيم التحقق عند استخدام وضع SecureBoot (للتحقق من initrd ، يحتاج المستخدم إلى إنشاء مفاتيحك وتحميلها في البرامج الثابتة UEFI).

وبالإضافة إلى ذلك، لا تسمح مؤسسة التمهيد الحالية باستخدام المعلومات من سجلات TPM PCR (سجل تكوين النظام الأساسي) للتحكم في سلامة مكونات مساحة المستخدمين بخلاف shim و grub و kernel. من بين المشاكل الحالية ، تم ذكر تعقيدات تحديث برنامج bootloader وعدم القدرة على تقييد الوصول إلى المفاتيح في TPM للإصدارات القديمة من نظام التشغيل التي أصبحت غير ذات صلة بعد تثبيت التحديث.

الأهداف الرئيسية للتنفيذ بنية التمهيد الجديدة:

• قم بتوفير عملية تنزيل تم التحقق منها بالكامل ، تغطي جميع المراحل من البرامج الثابتة إلى مساحة المستخدم ، وتأكيد صلاحية وسلامة المكونات التي تم تنزيلها.
• ربط الموارد الخاضعة للرقابة بسجلات TPM PCR مع فصل من قبل المالكين.
• القدرة على حساب قيم PCR مسبقًا استنادًا إلى kernel boot و initrd والتكوين ومعرف النظام المحلي.
• الحماية من هجمات التراجع المرتبطة بالعودة إلى الإصدار السابق الذي كان عرضة للإصابة بهجمات الفيروسات من النظام.
• تبسيط وتحسين موثوقية التحديثات.
• دعم ترقيات نظام التشغيل التي لا تتطلب إعادة تطبيق أو توفير موارد محمية TPM محليًا.
• تحضير النظام للمصادقة عن بُعد لتأكيد صحة نظام التشغيل وتكوين التمهيد.
• القدرة على إرفاق بيانات حساسة بمراحل تمهيد معينة ، على سبيل المثال عن طريق استخراج مفاتيح التشفير لجذر FS من TPM.
• قم بتوفير عملية آمنة وتلقائية وصامتة لإلغاء تأمين المفاتيح لفك تشفير محرك أقراص بقسم جذر.
• استخدام الرقائق التي تدعم مواصفات TPM 2.0 ، مع إمكانية الرجوع إلى الأنظمة التي لا تحتوي على TPM.

التغييرات اللازمة لتنفيذ العمارة الجديدة تم تضمينها بالفعل في قاعدة بيانات النظام وتؤثر على مكونات مثل systemd-stub و systemd-measure و systemd-cryptenroll و systemd-cryptsetup و systemd-pcrphase و systemd-creds.

أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.