Fedora 36 puede admitir el uso del código fs-verity del kernel de Linux para permitir algunos casos de uso interesantes de integridad y autenticidad en torno a los paquetes RPM.
El módulo fs-verity del kernel de Linux proporciona protección de autenticidad para archivos de solo lectura para verificar de forma transparente su integridad y autenticidad cuando esos archivos están en sistemas de archivos compatibles. FS-VERITY permite construir un árbol Merkle para un archivo dado y que persista con el archivo y luego el archivo se puede verificar con ese árbol Merkle. Esto puede permitir la detección de archivos corruptos, ya sean accidentales o intencionales o de naturaleza maliciosa, la auditoría de archivos y otros casos de uso de seguridad similares.
Un grupo de ingenieros de Facebook está liderando la carga para habilitar el uso de fs-verity para la validación de archivos RPM instalados. El cambio sería transparente para los usuarios y solo si se instala el complemento fs-verity RPM, las funciones de verificación adicionales estarían activas.
Esta propuesta de cambio expone las esperanzas lideradas por Facebook/Meta para el soporte de fs-verity RPM en el lanzamiento de Fedora 36 de la próxima primavera. El cambio aún debe ser evaluado por el Comité Directivo y de Ingeniería de Fedora.
El cambio es interesante desde la perspectiva de la seguridad, pero hay algunos costos involucrados en lo que respecta a la generación del árbol Merkle, la sobrecarga de firmas, etc., por lo que veremos si FESCo lo aprueba y, de ser así, qué tipo de se obtiene en Fedora 36.
Se espera que Fedora 36 salga a finales de abril.
