Ubuntu Core 20 добавляет службу безопасной загрузки и запуска

Canonical выпустила Ubuntu Core 20, встроенный вариант Ubuntu 20.04 LTS, добавив безопасную загрузку и полное шифрование диска. Существует также служба Smart Start, помогающая запускать продукты на основе Ubuntu Core.

Canonical объявила о выпуске Ubuntu Core 20, своей минималистичной контейнерной версии Ubuntu Linux для устройств IoT и встраиваемых систем. Вслед за более ранними выпусками, такими как Ubuntu Core 18 от 2019 года, Ubuntu Core 20 основан на Ubuntu 20.04 LTS, выпуске с долгосрочной поддержкой, предшествовавшем недавнему Ubuntu 20.10 .

Ключевым улучшением Ubuntu Core 20 является безопасность устройства с новыми функциями, включая безопасную загрузку, полное шифрование диска и безопасное восстановление устройства. Canonical также запустила службу Ubuntu Core под названием Smart Start, которая предоставляет «договор с фиксированной ценой для запуска устройства, которое включает консультации, разработку и обновления для первых 1000 устройств на сертифицированном оборудовании».

Архитектура безопасности Ubuntu Core с безопасной загрузкой и полным шифрованием диска

Поскольку Ubuntu Core в первую очередь предназначен для все еще относительно небольшого числа встраиваемых устройств, которые предлагают ряд различных приложений, он не так широко используется в сообществе встраиваемых систем, как настольный Ubuntu. Однако «десятки тысяч» промышленных и потребительских устройств IoT работают под управлением Ubuntu Core с дистрибутивом, доступным в системах от Bosch Rexroth, Dell, ABB, Rigado, Plus One Robotics, Jabil и других, сообщает Canonical. Ubuntu Core был разветвлен для
проектов хакерских досок , таких как FriendlyCore FriendlyElec, который работает на многих его SBC NanoPi.

Цитаты отзывов были предоставлены Advantech, Bosch Rexroth, Intel, Plus One Robotics и Rigado (см. Ниже). Генеральный директор Raspberry Pi Эбен Аптон поднял палец вверх и порекомендовал объединить Ubuntu Core с вычислительным модулем Raspberry Pi.

Безопасная загрузка и полное шифрование диска

Ubuntu Core уже является одним из самых безопасных встроенных дистрибутивов Linux. Его «привязанные» приложения контейнеризированы, и, помимо других функций безопасности, он предлагает обновления транзакций. Снимки представляют собой защищенные, защищенные от несанкционированного доступа образы приложений, защищенные от несанкционированного доступа и имеющие цифровую подпись для обеспечения целостности.

Элементы управления обновлениями позволяют издателям приложений и поставщикам устройств проверять обновления в экосистеме до их применения. Snap также являются транзакционными, поэтому отказы автоматически откатываются. В дистрибутив также встроен универсальный или ориентированный на конкретное устройство магазин приложений white label snap.

Как и в случае с Ubuntu Core 18, в котором была уменьшена поверхность для атак, безопасность является главной достопримечательностью последнего выпуска. Ubuntu Core 20 по умолчанию аутентифицирует процесс загрузки с аутентификацией на основе проверки цифровых подписей. Ubuntu Core поддерживает как аппаратный, так и программный корень доверия для безопасной загрузки и позволяет администраторам безопасности создавать и хранить цифровые ключи, используемые для проверки последовательности загрузки, в защищенном элементе, устройстве TPM или программном TEE.

Ubuntu Core использует цифровые подписи для криптографического обеспечения целостности данных. Криптографические подписи на основе закрытого ключа «могут подтвердить фактические данные на момент подписания», - заявляет Canonical. «В любой момент рабочего процесса целостность подписанных данных может быть проверена, тем самым гарантируя целостность перед применением обновлений программного обеспечения и прошивки».

Новые функции безопасной загрузки и полного шифрования диска доступны прямо из коробки на сертифицированных устройствах, таких как платы Raspberry Pi, различные компьютеры Intel NUC и другие устройства на базе Arm и x86 от Dell, Qualcomm, Eurotech, Rigardo, Meallanox и Интерактивная сила. (Поддержка TPM в настоящее время требуется для сертификации полного шифрования диска.) Canonical взимает плату за сертификацию других устройств.

Умный старт

Сервис Smart Start разработан, чтобы помочь компаниям быстро вывести на рынок свои первые устройства на базе Ubuntu Core. Услуги включают обучение, встроенное проектирование, разработку приложений, серверный хостинг, инфраструктуру обновления программного обеспечения, техническое обслуживание и послепродажную поддержку клиентов. Дополнительные платные услуги включают в себя livepatch безопасной загрузки ядра, полное шифрование диска и установку платы, включая настраиваемые ядра и интеграцию с BSP.

Концептуальная схема Smart Start

Обычно проекты можно перенести на Ubuntu Core в течение двух недель. Типичное предложение услуг стоит 30 000 долларов за 1000 устройств, включая разработку трех пользовательских снимков. Canonical также перечисляет еженедельную и ежемесячную плату за обновления безопасности и услуги магазина приложений. Также указаны дополнительные цены на безопасную загрузку, включение устройств, сертификацию FIPS, livepatch ядра и реализацию MicroK8s.

Canonical усиливает конкуренцию в области периферийных решений Интернета вещей, использующих контейнерные технологии Linux. Другие примеры включают balena (ранее Resin.io) и бесплатную легкую платформу Nubix Edge -контейнера Nubix.io для Интернета вещей . На прошлой неделе Zededa запустила свой облачный стек Zededa для управления распределенными периферийными компьютерами. На основе EVE-OS на базе Linux с открытым исходным кодом из проекта LF Edge Linux Foundation, Zededa поддерживает Docker, Kubernetes и виртуальные машины, а также имеет магазин приложений и безопасность с нулевым доверием. Как и в случае с Smart Start, здесь также есть предложения по обслуживанию.

«Создание нового магазина приложений ctrlX AUTOMATION от Bosch с использованием ядра Ubuntu и оснасток создает программно-определяемую промышленную производственную платформу с открытой экосистемой, более быстрым запуском производства и более надежной безопасностью на протяжении всего жизненного цикла устройства», - заявил Ханс-Майкл Краузе, директор по управлению продуктами PLC и Интернет вещей в Bosch Rexroth. «Промышленные машиностроители, использующие эту платформу, могут сломать традиционные барьеры между ИТ и ОТ и освободиться от проприетарных систем».

«Безопасная загрузка, встроенная в Ubuntu Core 20 по умолчанию, облегчит нам развертывание новых устройств и обеспечит высокий уровень безопасности, который требуется нашим клиентам», - заявил Джастин Риглинг, технический директор Rigado.

Дополнительная информация

Ubuntu Core 20 теперь доступен для бесплатной загрузки, а услуга Smart Start доступна по цене от 30 000 долларов. Дополнительную информацию можно найти в объявлении Canonical , а также на странице продукта Ubuntu Core и странице Smart Start . Canonical проводит веб-семинар по Ubuntu Core, который состоится 24 февраля.