Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.

Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который может быть загружен не только при помощи традиционных загрузчиков, и напрямую вызван из прошивки UEFI.

Возможность вызова из UEFI позволяет использовать проверку целостности и достоверности по цифровой подписи, охватывающую не только ядро, но и содержимое initrd. При этом поддержка вызова из традиционных загрузчиков позволяет сохранить такие возможности, как поставка нескольких версий ядра и автоматический откат на рабочее ядро в случае выявления проблем с новым ядром после установки обновления.

В настоящее время в большинстве дистрибутивов Linux в процессе инициализации используется цепочка "прошивка → заверенная цифровой подписью Microsoft shim-прослойка → заверенный цифровой подписью дистрибутива загрузчик GRUB → заверенное цифровой подписью дистрибутива ядро Linux → не заверенное окружение initrd → корневая ФС". Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет организацию проверки при использовании режима SecureBoot (для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI). Кроме того, существующая организация загрузки не позволяет применять информацию из регистров TPM PCR (Platform Configuration Register) для контроля целостности компонентов пространства пользователя, помимо shim, grub и ядра.Из имеющихся проблем также упоминается усложнение обновления загрузчика и отсутствие возможности ограничения доступа к ключам в TPM для старых версий ОС, ставших неактуальными после установки обновления.

Основные цели внедрения новой архитектуры загрузки:

  • Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.
  • Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
  • Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
  • Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.
  • Упрощение и повышение надёжности обновлений.
  • Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
  • Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
  • Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.
  • Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
  • Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter <<<

  • cryptOP
    link
    fedilink
    arrow-up
    0
    ·
    4 years ago

    это выльется в то, что ты будешь загружать проверенный линукс из облака micro$oft и у тебя не будет никакой возможности там что-то поменять. помяни мои слова. твоим рутом скоро станет micro$oft.

    • l-xoid
      link
      fedilink
      arrow-up
      0
      ·
      4 years ago

      Да да, я уже хз сколько лет такое слышу.

      Люди, которые рассуждают в стиле “вот скоро будет только Х”, вообще не понимают, как работает рыночек.

      • cryptOP
        link
        fedilink
        arrow-up
        0
        ·
        4 years ago

        да вон перед тобой дип-перпл с андроидом. ты думаешь, он может что-то поменять в прошивке у себя на телефоне?

        • l-xoid
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          Есть телефоны для любителей покрасноглазить, не вижу в чём проблема.

          • cryptOP
            link
            fedilink
            arrow-up
            0
            ·
            4 years ago

            то, что предлагает поттеринг - это универсальный способ для загрузки цельных образов. очевидно, он это не для телефонов делает. для встроек или для виртуальных машины. может, и для обычных пк тоже.

              • cryptOP
                link
                fedilink
                arrow-up
                0
                ·
                4 years ago

                Есть ноуты для любителей покрасноглазить, штучное изготовление, не вижу в чём проблема.

                ну ок

                • l-xoid
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  А ты хотел чтобы для 3,5 гиков устраивали массовое производство? 😄

                  • cryptOP
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    4 years ago

                    ну я типа помню еще времена old school bios и MBR, до того, как компьютеры упрощались-упрощались и превратились в телефоны с пальцевым управлением с нулевым порогом вхождения (для самых тупых). я хочу сказать, что понятие нормы отличается. для тебя норма - это ты и твоя блондинка с офиса по продажам. но вообще изначально Linux - это ОС для гиков, если ты забыл.

                    • l-xoid
                      link
                      fedilink
                      arrow-up
                      0
                      ·
                      4 years ago

                      но вообще изначально Linux - это ОС для гиков

                      К счастью, времена этой убогости Линукса проходят, и он становится ОСью не только для гиков, но и для нормальных людей. Это прекрасно, ящитаю.

                      Гики всегда могут взять свои генты/круксы/лфсы и перепилить всё что угодно.

                      • cryptOP
                        link
                        fedilink
                        arrow-up
                        0
                        ·
                        4 years ago

                        гики давно уже потеряли возможность управлять. они не могут тягаться с корпорациями, когда речь идет об объеме кода. они просто берут то, что дают.

                        для нормальных людей

                        понятие нормы в нашем обществе граничит с посредственностью. а в остальном все верно.

                        я был бы рад, если бы процесс повернули вспять и для использования выч.техники нужно было бы сдавать на права.

                        • l-xoid
                          link
                          fedilink
                          arrow-up
                          0
                          ·
                          4 years ago

                          гики давно уже потеряли возможность управлять

                          У них никогда её и не было.

                          понятие нормы в нашем обществе граничит с посредственностью

                          Детский сад, штаны на лямках.

                          • cryptOP
                            link
                            fedilink
                            arrow-up
                            0
                            ·
                            4 years ago

                            У них никогда её и не было.

                            историю надо знать. до 2000 года развитие линукса - чисто на гиках.

                            Детский сад, штаны на лямках.

                            попробуй зайди в https://linuxtalks.co/club/tox/32824?lastmod=1666727787960 и подтверди это знанием литературы. это именно так. будучи нормальным, ты часть этой массы.

                            • l-xoid
                              link
                              fedilink
                              arrow-up
                              0
                              ·
                              4 years ago

                              до 2000 года развитие линукса - чисто на гиках

                              Разработкой ядра управляет один человек - Торвальдс. А у него нет представлений об идеальной гиковской системе, как он сам не раз говорил. Так что нет, гики никогда не управляли Линуксом.

                              попробуй зайди в Меряемся книгами на полках и подтверди это знанием литературы

                              Детский сад в квадрате.

                              • cryptOP
                                link
                                fedilink
                                arrow-up
                                0
                                ·
                                4 years ago

                                торвальдс и есть natural born geek

                                Детский сад в квадрате.

                                просто тебе нечем крыть по факту.

                                • l-xoid
                                  link
                                  fedilink
                                  arrow-up
                                  0
                                  ·
                                  4 years ago

                                  По факту мне этот детский сад с выяснением градуса нестандартности надоел примерно в 25 лет.

                                  торвальдс и есть natural born geek

                                  Он инженер и следует реальности. Всякие красивые теоретические концепции и теоретические же проблемы/угрозы он чморил всю дорогу.

                                  • cryptOP
                                    link
                                    fedilink
                                    arrow-up
                                    0
                                    ·
                                    4 years ago

                                    надоел примерно в 25 лет

                                    это потому что у тебя это было подростковое. а я наоборот всю жизнь старался сойти за нормального, а когда подрос, понял, что ничего в этом, кроме банальщины, нет. не без радостей, конечно, но все очень незамысловато.

                                    Он инженер и следует реальности.

                                    да, Линус крутой. он инженер. но он при этом и гик. очень жаль, что он все-таки не создал единую экосистему линукса.

                                    • Minona
                                      link
                                      fedilink
                                      arrow-up
                                      0
                                      ·
                                      4 years ago

                                      единую экосистему линукса

                                      А подробнее что это?

                                      • cryptOP
                                        link
                                        fedilink
                                        arrow-up
                                        0
                                        ·
                                        4 years ago

                                        это чтобы, как во freebsd, внутри проекта было не только ядро.

                                        а по факту мы уже имеем systemd/Linux, где systemd - это корпоративный код base system.

                                        • Minona
                                          link
                                          fedilink
                                          arrow-up
                                          0
                                          ·
                                          4 years ago

                                          А он один бы не смог. Зато смог Лёня и Ко.

                                          • cryptOP
                                            link
                                            fedilink
                                            arrow-up
                                            0
                                            ·
                                            4 years ago

                                            смог бы. он бы просто не дал потеру распоясаться.

                  • TheAnonymous
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    4 years ago

                    Ну смотри, раньше для любого сколь-нибудь популярного смердфона была куча кастомных прошивок, ветка на 4пда, да даже для гейфонов с гейпадам джейлбрейк был. Сейчас если нужно устройство, которое управляется не дядей, надо прям заморачиваться искать, чтобы была разблокировка разгрузчика, нормальная прошивка без гуглосервисов, и выбор сильно ограничен.

                    • cryptOP
                      link
                      fedilink
                      arrow-up
                      0
                      ·
                      4 years ago

                      я удивлен, почему они до сих пор с windows это не провернули.

                    • l-xoid
                      link
                      fedilink
                      arrow-up
                      0
                      ·
                      4 years ago

                      Раньше вопрос безопасности не стоял так остро.

                      • TheAnonymous
                        link
                        fedilink
                        arrow-up
                        0
                        ·
                        4 years ago

                        Только вот несмотря на эти анальные огораживания безопасности сильно не прибавляется

                        • l-xoid
                          link
                          fedilink
                          arrow-up
                          0
                          ·
                          4 years ago

                          Откуда инфа, что не прибавляется? У меня обратное мнение, например.

                          • TheAnonymous
                            link
                            fedilink
                            arrow-up
                            0
                            ·
                            4 years ago

                            Оттуда, что уязвимости как находили, так и находят

                            • l-xoid
                              link
                              fedilink
                              arrow-up
                              0
                              ·
                              4 years ago

                              Так себе пруф, мягко говоря

            • JamesHolden
              link
              fedilink
              arrow-up
              0
              ·
              4 years ago

              то, что предлагает поттеринг - это универсальный способ для загрузки цельных образов

              Ну собственно, вся идеология и все инновации красношапки за последние годы нацелены именно на концепцию “цельного образа”, который нельзя менять.

              Это очередное продолжение тренда.

              • cryptOP
                link
                fedilink
                arrow-up
                0
                ·
                4 years ago

                в данном случае эти “инновации” от сотрудника Micro$oft. они успешно превращают линукс в прошивку для корпоративную систем и встроенных систем для рядового пользователя типа алексферма.

                • JamesHolden
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  они успешно превращают линукс в прошивку для корпоративную систем и встроенных систем для рядового пользователя типа алексферма.

                  Ага

      • Minona
        link
        fedilink
        arrow-up
        0
        ·
        4 years ago

        скорее так: Люди вообще не понимают, как работает рыночек.

        • l-xoid
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          Сие правда, т.к. рыночек это и есть люди))

    • kmeaw
      link
      fedilink
      arrow-up
      0
      ·
      4 years ago

      У TPM нет возможности что-то запретить загружать. Он может только не отдать какой-нибудь секрет, если грузят “что-то не то” или ответить на вопрос “а то, что загрузилось, точно хорошее?”.

      Теоретически, можно сделать такой сервис, который бы удалённо проверял, что на клиентском компьютере установлено “хорошее ПО” под управлением “хорошей ОС”, и отказывать в обслуживании, если это не так. На практике такой достаточно универсальной системы построить пока не удалось, хотя попытки были.

      У пользователя по-прежнему есть свобода как не использовать TPM, так и не пользоваться сервисами, требующих удалённую аттестацию окружения.

      FSF когда-то пытался бороться с trusted computing в целом (и TPM в частности), но перестал этим заниматься, так как никакой угрозы свободе пользователя в текущем виде эти технологии не несут.

      • cryptOP
        link
        fedilink
        arrow-up
        0
        ·
        4 years ago

        по-моему ты пропустил часть треда. с ноутами будет то же самое, что с телефонами и хром ос. будет проверяться целостность образа и не видать тебе модификаций.

        • kmeaw
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          На телефонах и хромбуках целостность ОС проверяется не с помощью TPM - для этого есть отдельные механизмы защиты от модификаций. На телефонах они реализуются загрузчиком, часть которого работает в ARM TrustZone, на хромбуках - чипом Titan M2.

          Поддержка TPM в systemd никак не помогает использованию TrustZone и Titan M2 производителем платформы. Я пока не могу придумать, как TPM можно использовать во вред пользователю, если он владеет (законно купил компьютер в магазине) машиной. А полезно для себя использовать TPM я умею - например, с его помощью могу проверить, не подменил ли кто-то /boot на удалённом сервере с зашифрованным диском, желая перехватить парольную фразу в момент её ввода.

          С одной стороны - да, действительно, печально, что устройства, которые мы, как конечные пользователи, можем купить в магазине не дают полный контроль над собой. Я из-за этого не покупаю ноутбуки на платформе новее Haswell - переставлять хабы я не умею, а в штатном уже включен BootGuard с чужим ключом.

          С другой стороны - это защищает незаинтересованного (а таких большинство) в ковырянии в системном ПО пользователя от злоумышленника, желающего закрепиться на сломанной системе. Действительно полного контроля у нас всё равно не будет, пока нет возможности производить чипы самостоятельно, а виртуальные машины (которые контролировать пользователю сильно проще) пока никто (кроме Apple в App Store для мобильных устройств; но на это есть sideloading) не запрещал. Внутри виртуальной машины можно применять любые модификации софта. Плата за такую свободу частью оплаченной мной производительности железа мне не кажется большой.

          • cryptOP
            link
            fedilink
            arrow-up
            0
            ·
            4 years ago

            ты всевремя пишешь про TPM, но в новости про TPM речи не идет. в новости речь о “Предложенные изменения сводятся к созданию единого универсального образа … может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память.”

            т.е. будет создан цельный образ, подписан и ты не сможешь распаковать и внести в него свои изменения.

            • kmeaw
              link
              fedilink
              arrow-up
              0
              ·
              4 years ago

              Я пока не вижу в новой версии systemd никаких изменений, связанных с верификацией окружений не через TPM.

              Но если всё случится так, как ты говоришь, а такие фичи станут мейнстримом, и в магазинах начнут массово появляться компьютеры, которые загружают только подписанные образы, и почему-то не предлагают мне, как владельцу, возможности загрузить свои собственные ключи, чтобы против них проверять подпись - что ж, придётся учиться жить в новой реальности. Лично мне это, конечно, создаст некоторые неудобства, но всё это можно решить, установив сверху виртуальную машину, внутри которой я буду модифицировать, что захочу. А ту systemd OS, поверх которой она будет работать, просто буду воспринимать, как драйвер-переросток, абстрагирующий моё модифицированное окружение от железа. Если всё будет сделано правильно и безопасно, а не как всегда, то от такого подхода будет в целом больше пользы, чем вреда - людей, желающих вносить изменения сильно меньше, чем потенциальных целей-жертв массовых кибератак.

              Пока предпосылок к появлению таких десктопов и ноутбуков нет - ведь они тогда перестанут быть компьютерами общего назначения. На UEFI, AMT/vPro, SecureBoot, BootGuard, TPM, TXT, SGX и другие похожие технологии есть заказ у корпораций, которые кормят производителей - им нужно, чтобы компьютеры, используемые на предприятии можно было удобно контролировать и обслуживать, при выходе из строя заменять компоненты, а софт безопасно и быстро обновлять. Если очередной производитель подсунет им компьютер, на котором нельзя запустить нужный им софт, они просто не купят его.

              • torvn77
                link
                fedilink
                arrow-up
                0
                ·
                4 years ago

                Если очередной производитель подсунет им компьютер, на котором нельзя запустить нужный им софт, они просто не купят его.

                Они то между собой договорятся, это ТЫ будешь жрать то, что дают.

                • kmeaw
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  Сомневаюсь, что, например, Apple и Google договорятся с Dell и HP, что на десктопах и ноутбуках, которые они закупают себе в офисы будет запускаться только софт от Apple и Google. Dell и HP гораздо проще сделать это настраиваемым параметром. А я просто куплю себе точно такой же ноут.

              • torvn77
                link
                fedilink
                arrow-up
                0
                ·
                4 years ago

                но всё это можно решить, установив сверху виртуальную машину, внутри которой я буду модифицировать, что захочу.

                Это ни чем не обоснованное предположение.

                • kmeaw
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  Пока что на компьютерах работает довольно много софта, напоминающего машину Тьюринга. Уже даже в браузере можно пускать эмулятор PC/x86. Экосистемы мобильных устройств (Android, iOS) дальше всех продвинулись в отгораживании, и даже для них есть виртуальные машины.