Ontem, as atualizações do EFI foram integradas à janela de mesclagem em andamento do Kernel Linux 6.9. Neste ciclo, o código do kernel EFI está passando por aprimoramentos para a computação confidencial e para atender aos requisitos da Microsoft para que eles possam assinar novamente o carregador de shim x86 para a manipulação de inicialização segura UEFI.
As modificações do EFI para o Linux 6.9 possibilitam o uso do protocolo de Computação Confidencial (CC) se o protocolo TCG2 não for suportado, como é o caso das máquinas virtuais confidenciais Intel Trusted Domain Extensions (TDX). A alteração da Microsoft visa garantir que os mapeamentos não sejam graváveis e executáveis quando executados nos serviços de inicialização EFI. Assegurar que não seja gravável e executável é uma prática de segurança recomendada em geral, mas é crucial para que a Microsoft possa assinar novamente o carregador de shim x86, permitindo que as distribuições Linux operem adequadamente em sistemas com inicialização segura ativada.
Ard Biesheuvel, em sua solicitação de mesclagem, destaca:
Medir o initrd e a linha de comando usando o protocolo CC se o protocolo TCG2 comum não estiver implementado, geralmente em VMs confidenciais TDX.
Evitar a criação de mapeamentos que sejam graváveis e executáveis durante a execução nos serviços de inicialização EFI. Isso é um pré-requisito para obter a assinatura da Microsoft novamente no carregador de shim x86, permitindo que as distribuições sejam instaladas em PCs x86 com inicialização segura EFI ativada.
Atualização da API para struct platform_driver::remove()
Este novo código EFI é adequado para o Kernel Linux 6.9, que será lançado como estável em meados de 2024.
Até a próxima !!
Nenhum comentário:
Postar um comentário