Linux Foundation: Поставщики ПО должны создать «цепочку доверия»

Linux Foundation и Red Hat опубликовали собственные рекомендации по реализации функционала «безопасной загрузки».

Безопасная загрузка UEFI – это технология, интегрированная в последнюю версию (v2.3.1) спецификации UEFI, в которой реализована часть «подлинного программного стека». Подлинный программный стек осуществляет проверку подлинности и целостности критических элементов программного обеспечения, запущенного на текущем устройстве. Это достигается путем внедрения системы криптографии с использованием публичного ключа для проверки подлинности различных подписей в ходе загрузки каждого последующего слоя в процессе загрузки операционной системы.

Функционал безопасной загрузки участвует в нескольких этапах данного процесса: проверке прошивки системы, драйверов и ПО, загружаемого встроенной прошивкой. Обычно, данное ПО выступает «загрузчиком», ответственным за запуск образа операционной системы. Применяя безопасную загрузку, публичные ключи в прошивке UEFI используются для проверки загрузчика, считываемого с диска. Таким образом, осуществляется предоставление загрузчику прав на запуск.

Для того, чтобы реализовать защиту всего программного стека, загрузчик обычно выполняет проверку подписи ядра операционной системы, которая, в свою очередь, выполняет проверку подписи остального ПО.

Если заменить или модифицировать один из этих компонентов, то проверка подписи завершиться неудачей, и система не загрузится. Например, если подпись загрузчика не будет сходиться с указанной в прошивке UEFI, пользоваться системой будет невозможно.

Участники проекта Linux Foundation отмечают, что для обеспечения стабильной работы «открытых систем», при изготовлении данной технологии необходимо исполнить ряд требований. Среди этих требований можно отметить следующие:

• Все платформы, поддерживающие функционал UEFI, должны поставляться в режиме настройки, и владелец должен иметь возможность выбора устанавливаемого ключа платформы. Также отмечается необходимость возможности возвращения к заводским настройкам.
• При первом запуске операционной системы, она должна определяться автоматически. Также автоматически должен загрузиться ключ замены ключа (key-exchange key, KEK), который загрузит ключ платформы, обеспечив безопасную загрузку.
• Настройки прошивки должны позволять пользователю добавлять новые KEK, позволяющие устанавливать операционные системы, не имеющие собственного ключа в заводской сборке.
• Прошивка должна содержать механизм для установки ОС из съемных устройств.
• В будущем необходимо создать независимую от поставщиков аппаратного и программного обеспечения службу подтверждения подлинности KEK.

Также авторы уведомления Linux Foundation отметили, что путем создания «цепочки доверия» между ведущими поставщиками аппаратного и программного обеспечения можно решить множество проблем технологии.

Сотрудники Red Hat, помимо требований к спецификациям и доводов в пользу реализации системы безопасной загрузки UEFI, подняли также ряд проблем, которые могут возникнуть, и на которые стоит обратить внимание разработчикам технологии.

Так, согласно описанию технологии, цифровую подпись должна иметь не только операционная система, но и все аппаратные компоненты компьютера. Пользователю ПК, который желает заменить, например, дисковый привод, необходимо позаботиться о том, чтобы ключ нового устройства содержался в базе, предоставленной изготовителем оборудования.

Также, в случае намерения пользователя сменить операционную систему, ему придется выбирать только ОС, для которой существует ключ. Таким образом, либо каждый поставщик ОС должен предоставить свой ключ всем поставщикам аппаратного обеспечения, либо разработчики системы безопасной загрузки UEFI должны продумать способ ручного добавления ключей на систему пользователем.

С уведомлениями ведущих разработчиков GNU\Linux систем можно ознакомиться по адресам:

Уведомление Linux Foundation
Уведомление Red Hat