Une proposition pour Fedora 36 est pour mettre en œuvre la fonctionnalité”DIGLIM”du module d’intégrité des listes de résumé en tant que fonctionnalité facultative pour fournir efficacement une attestation à distance et/ou un démarrage sécurisé au niveau de l’application.
La proposition de fonctionnalité DIGLIM pour Fedora se résume comme suit :”Le module d’intégrité des listes de résumé (DIGLIM) adopte une approche différente. Il permet à IMA d’étendre un PCR de manière prévisible ou de vérifier l’authenticité des fichiers en interrogeant un référentiel noyau de valeurs de référence authentifiées, construit à partir d’informations déjà disponibles dans des packages existants (section FILEDIGESTS de l’en-tête RPM, avec signature dans la section RSAHEADER). L’authentification de la source de données ne nécessite pas de gestion de clés supplémentaire. Avec la prise en charge des clés PGP dans le noyau, les clés officielles Fedora PGP peuvent être importées dans le trousseau de clés intégré du noyau et utilisées pour vérifier la signature PGP des en-têtes RPM… Un noyau modifié avec les correctifs DIGLIM exposera à l’espace utilisateur une interface pour ajouter/supprimer des résumés de fichiers de la table de hachage du noyau. Un analyseur de l’espace utilisateur, exécuté par le noyau au début du démarrage, analyse les en-têtes RPM trouvés dans/etc/diglim sur le disque RAM initial (inclus avec un script dracut personnalisé) et télécharge le em au noyau. Lors de l’accès à un fichier, IMA calcule le condensé du fichier et l’interroge avec DIGLIM. Si le condensé est trouvé, la mesure est ignorée et l’évaluation est réussie. Si le condensé n’est pas trouvé, une mesure du fichier est effectuée et l’évaluation échoue. Lorsque des packages sont installés ou supprimés, la table de hachage du noyau est maintenue synchronisée avec un nouveau plugin rpm. module autonome via un processus moins complexe. L’espoir est que l’utilisation de DIGLIM apporterait une plus grande intégrité à Fedora et attesterait avec une détection plus facile de toute altération de son logiciel.
Voir la proposition de fonctionnalité qui a été soulevée par Roberto Sassu de Huawei.
Bien que cette fonctionnalité puisse être facultative, comme une option d’installation ou une première exécution, elle a a soulevé un mélange de questions et de critiques. DIGLIM autorise le chargement de listes fournies par l’utilisateur et pourrait être désactivé, mais des inquiétudes ont été exprimées quant au fait que cela pourrait casser ou impliquer un travail supplémentaire lors de l’utilisation de progiciels tiers tels que ceux couramment obtenus à partir de RPM Fusion ou même des packages construits localement causant des problèmes. s comme une fonctionnalité que la plupart des utilisateurs de bureau/poste de travail personnels finiraient probablement par désactiver pour être un fardeau pour l’utilisateur. DIGLIM n’a pas encore été présenté comme un autre défi et obstacle compte tenu des politiques de Fedora. Voir la longue discussion qui se déroule sur la liste de diffusion Fedora.
Nous verrons où va cette proposition de fonctionnalité DIGLIM et si elle est retenue ou non pour Fedora 36, néanmoins une fonctionnalité intéressante et quelque chose à explorer pour ceux qui s’intéressent à l’informatique de confiance.
