Canonical a publié Ubuntu Core 20, une variante intégrée d’Ubuntu 20.04 LTS, ajoutant un démarrage sécurisé et un chiffrement complet du disque. Il existe également un service Smart Start pour aider à lancer les produits basés sur Ubuntu Core.
Canonical a annoncé la sortie d’Ubuntu Core 20, sa version minimaliste et conteneurisée d’Ubuntu Linux pour les appareils IoT et les systèmes embarqués. Après des versions antérieures telles que Ubuntu Core 18 de 2019, Ubuntu Core 20 est basé sur Ubuntu 20.04 LTS, la version de support à long terme qui a précédé la récente Ubuntu 20.10.
La principale amélioration d’Ubuntu Core 20 est la sécurité des appareils, avec de nouvelles fonctionnalités telles que le démarrage sécurisé, le chiffrement complet du disque et la récupération sécurisée des appareils. Canonical a également lancé un service Ubuntu Core appelé Smart Start qui fournit “un engagement à prix fixe pour lancer un appareil qui couvre le conseil, l’ingénierie et les mises à jour pour les 1000 premiers appareils sur du matériel certifié”.
Architecture de sécurité Ubuntu Core avec démarrage sécurisé et chiffrement complet du disque
(cliquez sur l’image pour l’agrandir)
Étant donné qu’Ubuntu Core est principalement conçu pour le nombre encore relativement restreint d’appareils embarqués qui offrent une gamme d’applications différentes, il n’est pas aussi largement utilisé qu’Ubuntu de bureau dans la communauté embarquée. Cependant, “des dizaines de milliers” d’appareils IoT industriels et grand public exécutent Ubuntu Core avec la distribution disponible sur les systèmes de Bosch Rexroth, Dell, ABB, Rigado, Plus One Robotics, Jabil, etc., selon Canonical. Ubuntu Core a été forké pour des projets de carte de piratage, tels que FriendlyCore de FriendlyElec, qui fonctionne sur plusieurs de ses SBC NanoPi.
Des témoignages ont été fournis par Advantech, Bosch Rexroth, Intel, Plus One Robotics et Rigado (voir ci-dessous). Le PDG de Raspberry Pi, Eben Upton, donne un coup de pouce, recommandant un couplage d’Ubuntu Core avec le module de calcul Raspberry Pi.
Démarrage sécurisé et chiffrement intégral du disque
Ubuntu Core est déjà l’une des distributions Linux embarquées les plus sécurisées. Ses applications “instantanées” sont conteneurisées et offrent des mises à jour transactionnelles, entre autres fonctionnalités de sécurité. Les snaps sont des images d’application sécurisées, en lecture seule et inviolables, qui sont signées numériquement pour garantir l’intégrité.
Les contrôles de mise à jour permettent aux éditeurs d’applications et aux fournisseurs d’appareils de valider les mises à jour dans l’écosystème avant qu’elles ne soient appliquées. Les snaps sont également transactionnels, de sorte que les échecs sont automatiquement annulés. Une boutique d’applications instantanées en marque blanche universelle ou spécifique à l’appareil est également intégrée à la distribution.
Comme avec Ubuntu Core 18, qui présentait une surface d’attaque réduite, la sécurité est l’attraction principale de la dernière version. Ubuntu Core 20 authentifie le processus de démarrage par défaut, avec une authentification basée sur la vérification des signatures numériques. Ubuntu Core prend en charge à la fois la racine de confiance matérielle et logicielle pour un démarrage sécurisé et permet aux administrateurs de sécurité de créer et de stocker les clés numériques utilisées pour valider la séquence de démarrage dans un élément sécurisé, un périphérique TPM ou un TEE logiciel.
Ubuntu Core utilise des signatures numériques pour garantir cryptographiquement l’intégrité des données. Les signatures cryptographiques basées sur une clé privée « peuvent attester des données réelles au moment de la signature », explique Canonical. “À tout moment du flux de travail, l’intégrité des données signées peut être validée, garantissant ainsi l’intégrité avant l’application des mises à jour logicielles et micrologicielles.”
Les nouvelles fonctionnalités de démarrage sécurisé et de chiffrement complet du disque sont disponibles prêtes à l’emploi sur des appareils certifiés tels que les cartes Raspberry Pi, une variété d’ordinateurs Intel NUC et d’autres appareils basés sur Arm et x86 de Dell, Qualcomm, Eurotech, Rigardo, Meallanox et Force interactive. (La prise en charge du TPM est actuellement requise pour la certification du chiffrement intégral du disque.) Canonical facture des frais pour la certification d’autres appareils.
Démarrage intelligent
Le service Smart Start est conçu pour aider les entreprises à mettre rapidement sur le marché leurs premiers appareils alimentés par Ubuntu Core. Les services comprennent la formation, l’ingénierie embarquée, le développement d’applications, l’hébergement backend, l’infrastructure de mise à jour logicielle, la maintenance et le support client après-vente. Les services facultatifs et payants incluent le livepatch du noyau de démarrage sécurisé, le chiffrement complet du disque et la mise en place de la carte, y compris les noyaux personnalisés et l’intégration BSP.
Diagramme conceptuel Smart Start
(cliquez sur l’image pour l’agrandir)
Les projets peuvent généralement être portés sur Ubuntu Core dans les deux semaines. L’offre de service typique coûte 30 000 $ pour un maximum de 1 000 appareils, ce qui comprend le développement de trois clichés personnalisés. Canonical répertorie également les frais hebdomadaires et mensuels pour les mises à jour de sécurité et les services de l’App Store. Des prix supplémentaires sont également détaillés pour le démarrage sécurisé, l’activation des périphériques, la certification FIPS, le livepatch du noyau et la mise en œuvre de MicroK8s.
Canonical fait face à une concurrence croissante dans les solutions IoT de pointe qui utilisent les technologies de conteneur Linux. D’autres exemples incluent balena (anciennement Resin.io) et la plate-forme de conteneurs de périphérie Nubix gratuite et légère de Nubix.io pour l’IoT. La semaine dernière, Zeeda a lancé sa pile cloud native Zededa pour orchestrer les ordinateurs de périphérie distribués. Basé sur l’EVE-OS open source basé sur Linux du projet LF Edge de la Fondation Linux, Zeeda prend en charge Docker, Kubernetes et les machines virtuelles, et dispose d’un magasin d’applications et d’une sécurité zéro confiance. Comme pour Smart Start, il existe également une offre de services.
“La création du nouveau magasin d’applications ctrlX AUTOMATION de Bosch avec Ubuntu Core et snaps crée une plate-forme de fabrication industrielle définie par logiciel avec un écosystème ouvert, un délai de production plus rapide et une sécurité renforcée tout au long du cycle de vie de l’appareil”, a déclaré Hans-Michael Krause, directeur de la gestion des produits PLC et IdO chez Bosch Rexroth. “Les constructeurs de machines industrielles utilisant cette plate-forme peuvent briser les barrières traditionnelles entre l’informatique et l’OT et se libérer des systèmes propriétaires.”
“Le démarrage sécurisé intégré à Ubuntu Core 20 par défaut nous permettra de déployer plus facilement de nouveaux appareils et d’offrir les niveaux de sécurité élevés que nos clients exigent”, a déclaré Justin Rigling, CTO chez Rigado.
Plus d’informations
Ubuntu Core 20 est maintenant disponible en téléchargement gratuit et le service Smart Start est disponible à partir de 30 000 $. Plus d’informations peuvent être trouvées dans l’annonce de Canonical, ainsi que sur la page produit Ubuntu Core et la page Smart Start. Canonical organise un webinaire sur Ubuntu Core qui se tiendra le 2 février. 24.