https://www.opennet.ru/opennews/art.shtml?num=57984
Ленька новое предложение опубликовал и что-то мне подсказывает, что оно как systemd почти все вытеснит в итоге
Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который может быть загружен не только при помощи традиционных загрузчиков, и напрямую вызван из прошивки UEFI.
Это нужно как бы и потому что недоверенно сейчас получается
Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет организацию проверки при использовании режима SecureBoot (для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI). Кроме того, существующая организация загрузки не позволяет применять информацию из регистров TPM PCR (Platform Configuration Register) для контроля целостности компонентов, помимо shim, grub и ядра. Из имеющихся проблем также упоминается усложнение обновления загрузчика и отсутствие возможности ограничения доступа к ключам в TPM для старых версий ОС, ставших неактуальными после установки обновления.
Среди целей и такие значатся
Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки корневого диска.
При этом крипто в luks уже корректно обходится с initrd (оно просто зашифровано вместе со всем остальным) и в принципе, если кому нужна реально защищенность есть работающий механизм. И тут Ленька похоже оставляет простор для реального ухудшения безопасности перед теми, кто выпускает ключи.
.png)
