Gli ingegneri Oracle continuano a lavorare all’iniziativa TrenchBoot per migliorare la sicurezza e l’integrità dell’avvio per Linux. La decima iterazione delle patch TrenchBoot è stata pubblicata questa settimana mentre si fa strada verso il kernel principale. Con la patch TrenchBoot v.10, questo progetto mira a essere integrato nel kernel principale di Linux. TrenchBoot rimane impegnato a stabilire una Root of Trust hardware per la misurazione su server AMD e Intel e Arm. Il lavoro TrenchBoot lato kernel Linux rimane incentrato sull’abilitazione Dynamic Launch (Secure Launch). TrenchBoot si collega anche al bootloader e ad altri componenti software per una maggiore sicurezza e integrità dell’avvio, combinando sia le funzionalità hardware che quelle software.
TrenchBoot v.10: le principali patch introdotte
Le patch TrenchBoot v.10 per il kernel Linux introducono la pulizia del codice e altre modifiche richieste durante la precedente revisione del codice. In primis stata rimossa la patch #1 dal set precedente che forzava la sezione “kernel_info” a un offset fisso. Sono stati aggiunti i cambiamenti di Ard Biesheuvel per usare lo step di collegamento (link) per generare gli offset relativi corretti per l’intestazione MLE nella sezione “kernel_info”. Sono stati corretti allineamento nella tabella SLR. Inoltre, sono stati aggiunti commenti all’intestazione SLR per indicare che è definita dal progetto TrenchBoot. È stato rimossa l’istruzione extra “pop” errata rilevata nelle modifiche a “head_64.S”. è stato introdotto l’utilizzo del prefisso “tpm/tpm2” per distinguere tra le versioni TPM, come fatto nel resto del codice relativo a TPM. Infine, è stata introdotta la funzione “slaunch_is_txt_launch()” e implementate modifiche minori nel codice EFI stub secondo i suggerimenti.
Per scoprire tutte le altre modifiche apportate con la versione TrenchBoot v10 è possibile visualizzare la pagina dedicata con tutte le patch. La speranza per molti utenti è quella che non passi troppo tempo prima di vedere finalmente il supporto per TrenchBoot Dynamic Launch nel kernel principale.