systemd ออกเวอร์ชั่น 252 ล็อกเคอร์เนลเข้ากับดิสก์เข้ารหัส

by lew
6 November 2022 - 16:51

systemd ออกเวอร์ชั่น 252 เมื่อสัปดาห์ที่ผ่านมา โดยเปลี่ยนระบบการบูตใหม่ ไปใช้ unified kernel image (UKI) อิมเมจของเคอร์เนลลินุกซ์ที่รวมกับอิมเมจของ /initrd/, และ UEFI boot stub เข้าไว้ด้วยกัน เพื่อปิดช่องโหว่การโจมตีดิสก์เข้ารหัสด้วยการเปลี่ยนเคอร์เนลระหว่างรัน

แนวทางนี้ Lennart Poettering ผู้สร้าง systemd ได้เสนอมาก่อนหน้านี้แล้ว เนื่องจากทุกวันนี้ระบบการบูตดิสก์เข้ารหัสที่ปลดล็อกด้วย TPM 2.0 บนลินุกซ์ยังมีช่องโหว่ให้คนร้ายสามารถโจมตีด้วยการเปลี่ยนเคอร์เนลได้ แต่ด้วยระบบใหม่ผู้พัฒนาดิสโทรสามารถสร้าง UKI และเซ็นอิมเมจทั้งก้อนไว้ได้ ในกระบวนการเก็บกุญแจเข้ารหัสดิสก์ก็ให้ลงทะเบียนกับ TPM 2.0 ไว้ด้วยกุญแจสาธารณะของผู้พัฒนาดิสโทร ในอนาคตแม้จะมีการอัพเดตเคอร์เนล แต่หาก TPM 2.0 ยังตรวจสอบ UKI ว่ามาจากผู้ผลิตเดิมก็สามารถปลดล็อกการเข้ารหัสดิสก์ได้อัตโนมัติ

กระบวนการนี้มีผลกับผู้ที่เข้ารหัสดิสก์และต้องการให้ปลดล็อกการเข้ารหัสโดยอัตโนมัติเมื่อดิสก์บูตบนคอมพิวเตอร์เครื่องเดิมด้วย TPM 2.0 แต่หากใช้กระบวนการปลดล็อกอื่น เช่น พิมพ์รหัสผ่านหน้าเครื่อง ก็ยังคงใช้งานต่อไปได้ไม่เปลี่ยนแปลง และฟีเจอร์นี้ต้องรอผู้พัฒนาดิสโทรต่างๆ รองรับเสียก่อน

ความเปลี่ยนแปลงสำคัญอีกอย่างหนึ่งคือ systemd ประกาศจะเลิกซัพพอร์ต cgroup v1 ภายในปี 2023 หลังจากที่ cgroup v2 รวมอยู่ในเคอร์เนลตั้งแต่ปี 2015

ที่มา - systemd, The Register

ชิป TPM 2.0 ของบริษัท Gigabyte

Blognone Jobs Premium