이 기사는 리눅스 6.17 커널에서 UEFI SBAT(보안 부트 고급 타겟팅)에 대한 지원이 곧 도입될 예정임을 다루고 있습니다. 이는 UEFI 바이너리에 대한 보안 부트 프로세스를 향상시키기 위한 것으로, SBAT는 부트로더의 특정 구성 요소에 대한 최소 요구 세대를 증가시켜 손상되거나 취약한 UEFI 바이너리를 폐기할 수 있는 세대 기반 기술을 도입합니다. 현재 업스트림 리눅스 커널은 SBAT 세대 번호에 대한 정의된 정책이 없기 때문에 SBAT에 참여하지 않고 있습니다. 이로 인해 배포 공급업체는 커널 빌드 중에 자체 SBAT 데이터를 주입할 수 있으며, 이를 통해 보안 부트 구현을 독립적으로 관리할 수 있습니다. 각 배포는 고유한 공급업체 인증서와 함께 자체 '심'(shim)을 제공하므로, 자신의 SBAT 구성 요소 이름과 세대 번호를 유지할 수 있습니다. 또한 arm64, loongarch, riscv, x86 등 다양한 아키텍처에 대한 SBAT 데이터 삽입 지원이 구현되고 있습니다. '.sbat' 섹션은 바이너리 파일의 '.data'와 '.text' 섹션 사이에 위치하여 부트 프로세스의 적절한 구성과 기능을 보장합니다. 이 개발은 다양한 리눅스 배포판에서 보안 부트의 보안성과 유연성을 향상시키는 중요한 의미를 갖습니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.