Linux 6.4-ytimen kanssa on otettu käyttöön mahdollisuus, että koneen avainrengas voi valinnaisesti tallentaa vain CA:n pakottavia avaimia.
Oraclen Eric Snowberg on työskennellyt CA:n avainrengasrajoitusten parissa, jotta koneen avaimenperää voidaan valvoa varmenteen myöntäjänä. Snowberg selitti korjaustiedostosarjassa:
“Ennen koneen avainrenkaan käyttöönottoa useimmat jakelut yksinkertaisesti sallivat kaikkien alustan avainrenkaan sisältämien avainten käyttämisen sekä ytimen että moduulin varmentamiseen. Tämä tehtiin puun ulkopuolisella korjaustiedostolla. Jotkut distrot ottivat sen jopa ja ladannut kaikki nämä avaimet toissijaiseen luotettuun avainrenkaaseen. Tämä antoi myös järjestelmän omistajalle mahdollisuuden lisätä oman avaimensa IMA-käyttöä varten.
Jokainen jakelu sisältää samankaltaiset ohjeet ydinmoduulien allekirjoittamisesta ja avaimen rekisteröimisestä MOK:iin. prosessi on melko yksinkertainen. Koneavaimenperän käyttöönoton myötä prosessi pysyy pohjimmiltaan samana, ilman, että tarvittaisiin mitään puunpoistokorjauksia.
Koneen avaimenperän avulla distrot pystyivät eliminoimaan poistuneet puupaikat ytimen moduulin allekirjoitus. Se ei kuitenkaan anna loppukäyttäjälle mahdollisuutta lisätä omat avaimensa IMA:ta varten. Tällä hetkellä koneen avainrengasta ei voida käyttää toisena luottamusankkurina avainten lisäämiseen ima-avainrenkaaseen, koska CA-valvontaa ei tällä hetkellä ole olemassa. Tämä laajentaisi nykyistä eheyskuilua. IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY Kconfig ilmoittaa, että avaimia voidaan lisätä ima-avainrenkaisiin, jos avain on allekirjoitettu järjestelmän sisäänrakennetun tai toissijaisen luotetun avainrenkaan CA-sertifikaatilla. Tällä hetkellä ei ole olemassa koodia, joka pakottaisi CA-varmenteen sisällön.
Tässä sarjassa esitellään tapa tehdä CA-valvonta koneen avainrenkaan kanssa. Se esittelee kolme eri tapaa määrittää koneen avainrengas. Uusia Kconfig-asetuksia on lisätty ohjaamaan siihen lisättävien avainten tyyppejä. Oletusasetus sallii kaikki MOK-avaimet koneen avainrenkaaseen. Kun CONFIG_INTEGRITY_CA_MACHINE_KEYRING on valittu, X.509 CA-bitin on oltava tosi ja avaimen käytön tulee sisältää keyCertSign; mikä tahansa muu käyttökenttä voidaan myös asettaa. Kun myös
CONFIG_INTEGRITY_CA_MACHINE_KEYRING_MAX on valittuna, X.509 CA-bitin on oltava tosi ja avaimen käytön tulee sisältää keyCertSign. Tällä valinnalla digitaalisen allekirjoituksen käyttöä ei ehkä voi määrittää. Jos avain ei läpäise CA-rajoitusten tarkistusta, sen sijaan, että se menisi koneen avainrenkaaseen, se lisätään alustan avainrenkaaseen. Koska koneen avainrengaseen voidaan määrittää CA-rajoituksia, koodi, joka esti koneen avainrengasta ottamasta käyttöön IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY, on poistettu.”
Jälleen, kuten todettiin, tämä on ehdottomasti Opt-in oletuskäyttäytymisellä sallien kaikki MOK-avaimet koneen avainrenkaaseen.
TPMDD pull-pyyntö lähetettiin tänään Linux 6.4-ytimelle, ja se sisältää tämän uuden toiminnon.
“Machine-avainrengas, jota käytetään Machine Owner Keys (MOK)-avaimissa, sai mahdollisuuden tallentaa vain CA pakotettuja avaimet ja jätä.platform-avainrenkaaseen, jolloin koodin allekirjoitusavaimet erotetaan avaimista, joita käytetään varmenteiden allekirjoittamiseen. Tämä vapauttaa olennaisesti.machine-avaimenperän käytön IMA:n luottamusankkurina. Se on valinnainen ominaisuus, mikä tarkoittaa, että lisärajoitukset eivät estä ketään, joka ei välitä niistä.”
Linuxin parannukset Integrity Measurement Architecture (IMA)-käsittelyn ympärillä ovat edelleen suuri kiinnostuksen kohde yritysten sidosryhmille.
