Linux-система верификации исполняемых файлов по цифровым подписям

0
227

В компании Read Hat один талантливый инженер показал в списках партнерских рассылок инженеров — изготовителей ядра Linux патчи, которые реализуют систему проверки (верификации) исполняемых файлов формата ELF, используя цифровые подписи. Эта разработка дополняет систему проверки модуля ядра, которая создавалась для поддержки домена UEFI Secure Boot.

При запуске режима проверки модулей ядра, возникла необходимость блокировки механизма kexec вместе с другими возможностями, которые могли использоваться для обхода цепочек проверки модулей, загружаемых в начале работы. Одно из решений по устранению возникшей проблемы – поддержка по цифровой подписи загружаемого файла kexec. Этот файл применяется для загрузки нового ядра с системным вызовом sys kexec(). Другой причиной для проверки (верификации) рабочих файлов возникло желание применения команды kdump для ядер, которые были загружены в режиме UEFI Secure Boot.

Другая возможность – это создание полностью проверяемых на совместимость систем, где гарантируется постоянство не только ядра, но и загружаемых файлов пользовательского уровня. Кроме путей (path) для ядра Linux создана новая утилита signelf, которая предназначается для того, чтобы заверить исполняемые файлы ELF используя закрытый ключ и сертификат х509, которые были созданы при сборке ядра Linux при включенном режиме проверки. При выполнении вызова exec(), ядро начинает проверять цифровую подпись файла и проводить проверку загружаемой памяти. Если файл не подписан или цифровая подпись соответствует ключу, то программа работает как обычно. В противном случае программа блокируется.

В настоящее время подписываются только исполняемые слинкованные файлы. Для других используемых библиотек подписи пока не формируются.

Стоит отметить, что если вам интересна продажа ПО в Одессе то по ссылке вы найдете множество коммерческого софта на все случаи жизни.