Fundido ontem no Linux 5.19 como uma mudança de janela pós-merge está tornando o código de verificação de assinatura do kernel compatível com FIPS.

Para conformidade com FIPS (Federal Information Processing Standards), são necessários autotestes. FIPS são padrões públicos via NIST usados ​​por agências governamentais dos EUA e contratados nas áreas de segurança e interoperabilidade de computadores. O FIPS 140 para criptografia descreve os requisitos em torno dos autotestes. Os autotestes de resposta conhecida são necessários para a conformidade com FIPS na inicialização/reinicialização, mas o código de verificação de assinatura do kernel Linux não possui esses testes. O código de verificação de assinatura é usado para assinatura de módulo, Kexec e outras funcionalidades. Com o Linux 5.19, agora haverá alguns autotestes básicos no início.

David Howells, da Red Hat, explicou:”O código de verificação de assinatura, usado pela assinatura de módulo, kexec, etc., não é compatível com FIPS, pois não há autoteste. Para um kernel ser compatível com FIPS , a verificação de assinatura teria que ser testada antes de ser usada, e a caixa precisaria entrar em pânico se não estiver disponível (provavelmente razoável, pois simplesmente desabilitar a verificação de assinatura impediria você de carregar qualquer módulo de driver). Lide com isso adicionando um teste mínimo.”

Esse suporte foi mesclado ontem para a linha principal e este autoteste FIPS fará parte do Linux 5.19-rc4.

Categories: IT Info