Una propuesta para Fedora 36 es para implementar la funcionalidad”DIGLIM”del Módulo de integridad de listas de resumen como una característica opcional para proporcionar de manera efectiva una certificación remota y/o un arranque seguro en el nivel de la aplicación.
La propuesta de características de DIGLIM para Fedora se resume en:”El módulo de integridad de listas de resumen (DIGLIM) adopta un enfoque diferente. Permite que IMA extienda un PCR de una manera predecible o verifique la autenticidad de los archivos consultando un repositorio del kernel de valores de referencia autenticados, construido a partir de información ya disponible en paquetes existentes (sección FILEDIGESTS del encabezado RPM, con firma en la sección RSAHEADER). La autenticación de la fuente de datos no requiere administración de claves adicional. Con soporte para claves PGP en el kernel, las claves PGP oficiales de Fedora se pueden importar al llavero incorporado del kernel y usarse para verificar la firma PGP de los encabezados RPM… Un kernel modificado con los parches DIGLIM expondrá al espacio del usuario una interfaz para agregar/eliminar resúmenes de archivos la tabla hash del kernel. Un analizador de espacio de usuario, ejecutado por el kernel durante el arranque temprano, analiza los encabezados RPM que se encuentran en/etc/diglim en el disco ram inicial (incluido con un script dracut personalizado) y carga los em al kernel. Cuando se accede a un archivo, IMA calcula el resumen del archivo y lo consulta con DIGLIM. Si se encuentra el resumen, se omite la medición y la evaluación se realiza correctamente. Si no se encuentra el resumen, se realiza una medición del archivo y falla la evaluación. Cuando se instalan o eliminan paquetes, la tabla hash del kernel se mantiene sincronizada con un nuevo complemento rpm”.
DIGLIM se propuso anteriormente para Fedora como las listas de resumen de IMA, pero era demasiado invasivo. DIGLIM ahora puede funcionar como un módulo independiente a través de un proceso menos complicado. La esperanza es que el uso de DIGLIM traiga una mayor integridad a Fedora y pueda certificarse con la detección más fácil de cualquier manipulación de su software.
Consulte la propuesta de función que fue planteada por Roberto Sassu de Huawei.
Si bien esta función puede ser opcional, como una opción de instalador o una primera ejecución, tiene planteó una combinación de preguntas y algunas críticas. DIGLIM permite cargar listas proporcionadas por el usuario y podría deshabilitarse, pero surgieron preocupaciones de que esto se rompería o implicaría un trabajo adicional al usar paquetes de software de terceros, como los que se obtienen comúnmente de RPM Fusion o incluso paquetes construidos localmente que causan problemas. s como una característica que la mayoría de los usuarios de estaciones de trabajo/escritorios personales al menos terminarían inhabilitando por ser una carga para el usuario. DIGLIM también tiene que ser destacado como otro desafío y obstáculo dadas las políticas de Fedora. Vea la extensa discusión que tiene lugar en la lista de correo de Fedora .
Veremos hacia dónde se dirige esta propuesta de función DIGLIM y si se acepta o no para Fedora 36, sin embargo, es una función interesante y algo en lo que vale la pena profundizar para aquellos interesados en la informática confiable.
