Fusionné hier dans Linux 5.19 sous un changement de fenêtre post-fusion rend le code de vérification de signature du noyau conforme à la norme FIPS.
Pour la conformité FIPS (Federal Information Processing Standards), des auto-tests sont requis. Les FIPS sont des normes publiques via le NIST utilisées par les agences gouvernementales américaines et les sous-traitants dans les domaines de la sécurité informatique et de l’interopérabilité. FIPS 140 pour la cryptographie décrit les exigences relatives aux autotests. Des auto-tests de réponse connue sont requis pour la conformité FIPS au démarrage/redémarrage, mais le code de vérification de signature du noyau Linux manquait de tels tests. Le code de vérification de signature est utilisé pour la signature de module, Kexec et d’autres fonctionnalités. Avec Linux 5.19, il y aura désormais quelques autotests de base au démarrage.
David Howells de Red Hat a expliqué :”Le code de vérification de signature, tel qu’utilisé par la signature de module, kexec, etc., n’est pas conforme à la norme FIPS car il n’y a pas d’autotest. Pour qu’un noyau soit conforme à la norme FIPS , la vérification de la signature devrait être testée avant d’être utilisée, et la boîte devrait paniquer si elle n’est pas disponible (probablement raisonnable car la simple désactivation de la vérification de la signature vous empêcherait de charger des modules de pilote). Gérez cela en ajoutant un test minimal.”
Ce support a été fusionné hier à la ligne principale et ces auto-tests FIPS feront partie de Linux 5.19-rc4.
