Confira !!
Voltando a mais de um ano atrás, havia discussões de engenheiros da Oracle e de outros sobre um protocolo de inicialização segura para o kernel Linux, por sua vez, vincular-se ao projeto de código-fonte aberto Trenchboot, trabalhando em vários recursos de integridade do sistema. Agora estamos finalmente vendo novos patches do Oracle para conectar mais suporte ao Trenchboot no kernel do Linux.
O Trenchboot é uma estrutura de plataforma cruzada para incorporar tecnologias de integridade de inicialização, como Intel Boot Guard, Intel TXT e AMD SKINIT. Em última análise, o Trenchboot visa vários casos de uso, desde a autenticação de dois fatores para laptops de viagem até o manuseio da integridade do sourcing. Aqueles que não estão familiarizados com o projeto podem aprender mais em Trenchboot.org .
Os patches enviados hoje por Ross Philipson da Oracle e baseados no trabalho de Daniel P. Smith da Apertus Solutions permitem o suporte seguro ao kernel de lançamento tardio .
O foco do projeto Trenchboot na segurança de inicialização levou a permitir que o kernel do Linux fosse diretamente invocável pelas instruções de Lançamento Dinâmico x86 para estabelecer uma Raiz Dinâmica de Confiança para Medição (DRTM). O lançamento dinâmico será iniciado por um carregador de inicialização com o suporte associado adicionado a ele, por exemplo, o primeiro carregador de inicialização direcionado será o GRUB2. Uma parte integrante do estabelecimento do DRTM envolve medir tudo o que se pretende executar (imagem do kernel, initrd, etc) e tudo o que configurará esse kernel para ser executado (linha de comando, parâmetros de inicialização, etc.) em PCRs específicos, os DRTM PCRs ( 17-22), no TPM. Outro aspecto importante é que o lançamento dinâmico está enraizado no hardware. Na Intel, isso é feito usando o conjunto de instruções GETSEC fornecido pelo TXT da Intel e a instrução SKINIT fornecida pelo AMD-V da AMD.
Para permitir que o kernel seja iniciado pelo GETSEC ou SKINIT, um stub deve ser incorporado na seção de configuração do kernel compactado para lidar com o estado específico em que o processo de inicialização tardia deixa o BSP. Isso é muito parecido com o stub EFI encontrado na mesma área. Além disso, esse esboço deve medir tudo o que será usado o mais cedo possível. Esse código stub e o código subsequente também devem lidar com o estado específico em que o lançamento tardio deixa os APs.
Por enquanto, esses patches de "solicitação de comentários" são conectados apenas ao Intel TXT enquanto uma versão da AMD está em andamento. A Oracle também está trabalhando no suporte ao Intel TXT / AMD SKINIT e Trenchboot no lado do gerenciador de inicialização GRUB .
Por enquanto, nenhum desenvolvedor upstream comentou a proposta, mas veremos aonde isso leva com essa funcionalidade Trenchboot / Secure Launch para o kernel Linux que possivelmente se unirá este ano.
Até a próxima !!
Nenhum comentário:
Postar um comentário