Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 3444
Зарегистрирован: 20.08.2022

#

Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
Дата публикации:Wed, 26 Oct 2022 10:36:25 +0300


Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.


Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который может быть
загружен не только при помощи традиционных загрузчиков, и напрямую вызван из прошивки UEFI.

Возможность вызова из UEFI позволяет использовать проверку целостности и достоверности по цифровой подписи, охватывающую не только ядро, но и содержимое initrd. При этом поддержка вызова из традиционных загрузчиков позволяет сохранить такие возможности, как поставка нескольких версий ядра и автоматический откат на рабочее ядро в случае выявления проблем с новым ядром после установки обновления.

В настоящее время в большинстве дистрибутивов Linux в процессе инициализации используется цепочка "прошивка → заверенная цифровой подписью Microsoft shim-прослойка → заверенный цифровой подписью дистрибутива загрузчик GRUB → заверенное цифровой подписью дистрибутива ядро Linux → не заверенное окружение initrd → корневая ФС". Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет организацию проверки при использовании режима SecureBoot (для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI). Кроме того, существующая организация загрузки не позволяет применять информацию из регистров TPM PCR (Platform Configuration Register) для контроля целостности компонентов пространства пользователя, помимо shim, grub и ядра.
Из имеющихся проблем также упоминается усложнение обновления загрузчика и отсутствие возможности ограничения доступа к ключам в TPM для старых версий ОС, ставших неактуальными после установки обновления.



Основные цели внедрения новой архитектуры загрузки:
  • Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.

    Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
    Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
    Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.

    Упрощение и повышение надёжности обновлений.

    Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
    Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.

    Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.

    Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.

    Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.


Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=57984

Жизнь за Нер'зула!

vall
Аватара пользователя
Администрация
Сообщения: 727
Зарегистрирован: 09.08.2022

#

Комментарии в первоисточнике.

"В желании оффтопика за вендролочить и пускать на железо только проверенных производителей, которые делают то что им скажу он полностью прав. Но не всем захочется жить в концлагере. Большинству конечно же нравится жить в концлагере".

"Одной из основ идеологии СПО была возможность для пользователя полностью контролировать всё, что происходит на его компьютере. Если пользователь накосячил, если влез зловред и с полномочиями пользователя натворил делов - это естественная плата за свободу.
Для MS приоритетом всегда была возможность исключить вмешательство пользователя в тот функционал, который не относится к пользовательскому. Невозможность изменить то, что производитель считает не подлежащим изменению - это, по мнению MS, естественная плата за безопасность.
Теперь Лёня тащит это в Линух".

"хехе, пердуны с опеннета"
jim945
Сообщения: 18
Зарегистрирован: 01.09.2022

#

Как я понимаю он предлагает сделать как на смартфонах в итоге.
Фиг что поменяешь в системе без плясок с бубном. Плюс шифрование диска ключами из материнки, проца. Сгорела железка - данные просраны...
Как к этому можно относиться?
vall
Аватара пользователя
Администрация
Сообщения: 727
Зарегистрирован: 09.08.2022

#

jim945:Как к этому можно относиться?
История успеха корпораций на пути полного контроля IT-сферы как по софту, так и по харду.

Видят опасность даже в ~2% линукс у частных пользователей. И эти опасения сами по себе громче многих слов.
vasek
Сообщения: 455
Зарегистрирован: 31.08.2022

#

В части предполагаемой верифицикации процесса загрузки - на мой вгляд все закономерно и ничего страшного не вижу, только одни плюсы.
Если посмотреть приведенную цепочку загрузки, то в ней на данный момент отсутвует только верификация initrd, загрузка которого, кстати, является самым уязвимым этапом в приведенной цепочке.

PS - не однократно экспериментировал, внося изменния в initramfs-linux.img (распаковывал - вносил изменения - упаковывал) … и что же это за безопасность? - лучше это исключить.

А вот в части модуля TPM, все не однозначно, есть и плюсы есть и минусы - чего больше, мне судить трудно, так как знаком с этим чисто теоретически, практически не экпериментировал.
Хотя сейчас практически все новые компы идут с этим модулем, но редко кто его задействует.

Ошибки не исчезают с опытом - они просто умнеют

Ответить