Fundido ontem no Linux 5.19 como uma mudança de janela pós-merge está tornando o código de verificação de assinatura do kernel compatível com FIPS.
Para conformidade com FIPS (Federal Information Processing Standards), são necessários autotestes. FIPS são padrões públicos via NIST usados por agências governamentais dos EUA e contratados nas áreas de segurança e interoperabilidade de computadores. O FIPS 140 para criptografia descreve os requisitos em torno dos autotestes. Os autotestes de resposta conhecida são necessários para a conformidade com FIPS na inicialização/reinicialização, mas o código de verificação de assinatura do kernel Linux não possui esses testes. O código de verificação de assinatura é usado para assinatura de módulo, Kexec e outras funcionalidades. Com o Linux 5.19, agora haverá alguns autotestes básicos no início.
David Howells, da Red Hat, explicou:”O código de verificação de assinatura, usado pela assinatura de módulo, kexec, etc., não é compatível com FIPS, pois não há autoteste. Para um kernel ser compatível com FIPS , a verificação de assinatura teria que ser testada antes de ser usada, e a caixa precisaria entrar em pânico se não estiver disponível (provavelmente razoável, pois simplesmente desabilitar a verificação de assinatura impediria você de carregar qualquer módulo de driver). Lide com isso adicionando um teste mínimo.”
Esse suporte foi mesclado ontem para a linha principal e este autoteste FIPS fará parte do Linux 5.19-rc4.