验证的引导可自动验证 Oracle Solaris 内核模块的 elfsign 签名。通过使用验证的引导,管理员能够在引导过程期间(从系统复位到引导完成)创建可验证的信任链。
在系统引导期间,在引导过程中启动的每个代码块都将验证下一个需要装入的代码块。验证和装入序列直到装入最后一个内核模块后才停止。
如果随后在系统上执行关开机循环,则会开始一个新的验证序列。管理员也可以配置验证的引导以在验证失败时采取相应的操作。
考虑 SPARC 系统上的 Oracle Solaris 引导流程:
Firmware -> Bootblock -> /platform/.../unix -> genunix -> other kernel modules
SPARC 固件是在工厂中安装的。也可以通过使用 fwupdate 实用程序更新该固件的数字签名。该固件验证并接着装入 Oracle Solaris /platform/.../unix 模块(该模块是初始 Oracle Solaris 模块)。接下来,该模块的 Oracle Solaris 内核运行时加载器 krtld 又验证和装入通用 UNIX (genunix) 模块和后续模块。