Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который может быть загружен не только при помощи традиционных загрузчиков, и напрямую вызван из прошивки UEFI.
Возможность вызова из UEFI позволяет использовать проверку целостности и достоверности по цифровой подписи, охватывающую не только ядро, но и содержимое initrd. При этом поддержка вызова из традиционных загрузчиков позволяет сохранить такие возможности, как поставка нескольких версий ядра и автоматический откат на рабочее ядро в случае выявления проблем с новым ядром после установки обновления.
В настоящее время в большинстве дистрибутивов Linux в процессе инициализации используется цепочка "прошивка → заверенная цифровой подписью Microsoft shim-прослойка → заверенный цифровой подписью дистрибутива загрузчик GRUB → заверенное цифровой подписью дистрибутива ядро Linux → не заверенное окружение initrd → корневая ФС". Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет организацию проверки при использовании режима SecureBoot (для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI). Кроме того, существующая организация загрузки не позволяет применять информацию из регистров TPM PCR (Platform Configuration Register) для контроля целостности компонентов пространства пользователя, помимо shim, grub и ядра.Из имеющихся проблем также упоминается усложнение обновления загрузчика и отсутствие возможности ограничения доступа к ключам в TPM для старых версий ОС, ставших неактуальными после установки обновления.
Основные цели внедрения новой архитектуры загрузки:
- Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.
- Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
- Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
- Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.
- Упрощение и повышение надёжности обновлений.
- Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
- Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
- Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.
- Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
- Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.
// cc-by opennet.ru
// converted with crypt’s opennet autoreposter
<<<

Да да, я уже хз сколько лет такое слышу.
Люди, которые рассуждают в стиле “вот скоро будет только Х”, вообще не понимают, как работает рыночек.
да вон перед тобой дип-перпл с андроидом. ты думаешь, он может что-то поменять в прошивке у себя на телефоне?
Есть телефоны для любителей покрасноглазить, не вижу в чём проблема.
то, что предлагает поттеринг - это универсальный способ для загрузки цельных образов. очевидно, он это не для телефонов делает. для встроек или для виртуальных машины. может, и для обычных пк тоже.
Ну и молодец.
ну ок
А ты хотел чтобы для 3,5 гиков устраивали массовое производство? 😄
ну я типа помню еще времена old school bios и MBR, до того, как компьютеры упрощались-упрощались и превратились в телефоны с пальцевым управлением с нулевым порогом вхождения (для самых тупых). я хочу сказать, что понятие нормы отличается. для тебя норма - это ты и твоя блондинка с офиса по продажам. но вообще изначально Linux - это ОС для гиков, если ты забыл.
К счастью, времена этой убогости Линукса проходят, и он становится ОСью не только для гиков, но и для нормальных людей. Это прекрасно, ящитаю.
Гики всегда могут взять свои генты/круксы/лфсы и перепилить всё что угодно.
гики давно уже потеряли возможность управлять. они не могут тягаться с корпорациями, когда речь идет об объеме кода. они просто берут то, что дают.
понятие нормы в нашем обществе граничит с посредственностью. а в остальном все верно.
я был бы рад, если бы процесс повернули вспять и для использования выч.техники нужно было бы сдавать на права.
У них никогда её и не было.
Детский сад, штаны на лямках.
историю надо знать. до 2000 года развитие линукса - чисто на гиках.
попробуй зайди в https://linuxtalks.co/club/tox/32824?lastmod=1666727787960 и подтверди это знанием литературы. это именно так. будучи нормальным, ты часть этой массы.
Разработкой ядра управляет один человек - Торвальдс. А у него нет представлений об идеальной гиковской системе, как он сам не раз говорил. Так что нет, гики никогда не управляли Линуксом.
Детский сад в квадрате.
торвальдс и есть natural born geek
просто тебе нечем крыть по факту.
По факту мне этот детский сад с выяснением градуса нестандартности надоел примерно в 25 лет.
Он инженер и следует реальности. Всякие красивые теоретические концепции и теоретические же проблемы/угрозы он чморил всю дорогу.
это потому что у тебя это было подростковое. а я наоборот всю жизнь старался сойти за нормального, а когда подрос, понял, что ничего в этом, кроме банальщины, нет. не без радостей, конечно, но все очень незамысловато.
да, Линус крутой. он инженер. но он при этом и гик. очень жаль, что он все-таки не создал единую экосистему линукса.
А подробнее что это?
это чтобы, как во freebsd, внутри проекта было не только ядро.
а по факту мы уже имеем systemd/Linux, где systemd - это корпоративный код base system.
А он один бы не смог. Зато смог Лёня и Ко.
смог бы. он бы просто не дал потеру распоясаться.
Ну смотри, раньше для любого сколь-нибудь популярного смердфона была куча кастомных прошивок, ветка на 4пда, да даже для гейфонов с гейпадам джейлбрейк был. Сейчас если нужно устройство, которое управляется не дядей, надо прям заморачиваться искать, чтобы была разблокировка разгрузчика, нормальная прошивка без гуглосервисов, и выбор сильно ограничен.
я удивлен, почему они до сих пор с windows это не провернули.
Раньше вопрос безопасности не стоял так остро.
Только вот несмотря на эти анальные огораживания безопасности сильно не прибавляется
Откуда инфа, что не прибавляется? У меня обратное мнение, например.
Оттуда, что уязвимости как находили, так и находят
Так себе пруф, мягко говоря
Ну собственно, вся идеология и все инновации красношапки за последние годы нацелены именно на концепцию “цельного образа”, который нельзя менять.
Это очередное продолжение тренда.
в данном случае эти “инновации” от сотрудника Micro$oft. они успешно превращают линукс в прошивку для корпоративную систем и встроенных систем для рядового пользователя типа алексферма.
Ага
скорее так: Люди вообще не понимают, как работает рыночек.
Сие правда, т.к. рыночек это и есть люди))