A chamada de sistema”memfd_secret”está sendo adicionado ao kernel do Linux 5.14 para fornecer a capacidade de criar áreas de memória que são visíveis apenas no contexto do processo de propriedade e essas regiões de memória”secretas”não são mapeadas por outros processos ou pelas tabelas de página do kernel.

Este trabalho se originou com o trabalho secretmemfd proposto para memória secreta no Linux e durante o ano passado, como memfd_secret analisando várias rodadas . O caso de uso pretendido para essas áreas de memória secreta são casos como chaves privadas OpenSSL potencialmente sendo armazenadas nessas áreas para reduzir a possibilidade de serem expostas na memória do sistema e não poderem ser copiadas por outros métodos de criptografia de hardware com hardware moderno.

Usar memfd_secret significa que as áreas de memória serão mapeadas apenas na tabela de páginas dos processos que têm acesso ao descritor de arquivo proprietário e não são mapeadas do mapa direto do kernel.

O acesso a memfd_secret é desabilitado por padrão, mas requer o uso da opção de tempo de inicialização secretmem_enable ao inicializar o kernel para habilite esta funcionalidade de memória secreta.

O suporte memfd_secret para Linux 5.14 foi mesclado na sexta-feira como parte dos patches de Andrew Morton. Os patches de memória secretos foram criados por Mike Rapoport da IBM.

Categories: IT Info