A Linux 6.4-es kernellel bevezették azt a lehetőséget, hogy a gépi kulcstartó opcionálisan csak a CA által kényszerített kulcsokat tárolhat.
Eric Snowberg, az Oracle-től dolgozik a CA-s kulcstartó-korlátozásokon annak érdekében, hogy a tanúsítvány hatóság (CA) érvényesítse a gépi kulcstartót. Snowberg a patch sorozatban kifejtette:
“A gépi kulcstartó bevezetése előtt a legtöbb disztribúció egyszerűen engedélyezte, hogy a platform kulcstartójában lévő összes kulcsot felhasználják mind a kernel, mind a modul ellenőrzésére. Ezt egy fán kívüli patch tette. tovább, és ezeket a kulcsokat betöltötte a másodlagos megbízható kulcstartóba. Ez azt is lehetővé tette a rendszertulajdonos számára, hogy saját kulcsot adjon hozzá az IMA használatához.
Minden disztribúció hasonló dokumentációt tartalmaz a kernelmodulok aláírásáról és a kulcs MOK-ba való bejegyzéséről. A folyamat meglehetősen egyszerű. A gépi kulcstartó bevezetésével a folyamat lényegében ugyanaz marad, anélkül, hogy szükség lenne a kifogyott fa javításokra.
A gépi kulcstartó lehetővé tette a disztribúciók számára, hogy kiküszöböljék a kifogyott fa foltokat A kernel modul aláírása azonban nem teszi lehetővé a végfelhasználó számára, hogy saját kulcsokat adjon hozzá az IMA-hoz. Jelenleg a gépi kulcstartó nem használható másik megbízható horgonyként kulcsok hozzáadásához az ima kulcstartóhoz, mivel jelenleg nem létezik hitelesítésszolgáltatói kényszer. Ez növelné a jelenlegi integritási rést. Az IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY Kconfig kimondja, hogy kulcsok adhatók hozzá az ima kulcstartókhoz, ha a kulcsot érvényesen aláírta egy CA-tanúsítvány a rendszer beépített vagy másodlagos megbízható kulcstartójában. Jelenleg nem létezik olyan kód, amely kényszeríti a CA-tanúsítványok tartalmát.
Ez a sorozat egy módszert mutat be a CA betartatására a gép kulcstartójával. Három különböző módot mutat be a gép kulcstartójának konfigurálására. Új Kconfig-beállítások kerültek hozzáadásra, amelyek szabályozzák a hozzá adható kulcsok típusát. Az alapértelmezett beállítás lehetővé teszi az összes MOK kulcsot a gép kulcstartójába. Ha a CONFIG_INTEGRITY_CA_MACHINE_KEYRING van kiválasztva, az X.509 CA bitnek igaznak kell lennie, és a kulcshasználatnak tartalmaznia kell a keyCertSign jelet; bármely más használati mező is beállítható. Ha a
CONFIG_INTEGRITY_CA_MACHINE_KEYRING_MAX is ki van választva, az X.509 CA bitnek igaznak kell lennie, és a kulcshasználatnak tartalmaznia kell a keyCertSign értéket. Ezzel az opcióval a digitálisaláírás-használat nem állítható be. Ha egy kulcs nem felel meg a CA korlátozási ellenőrzésen, ahelyett, hogy a gép kulcstartójába kerülne, hozzáadódik a platform kulcstartójához. Mivel a gépi kulcstartó CA-korlátozásokkal konfigurálható, eltávolítottuk azt a kódot, amely megakadályozta a gépi kulcstartó engedélyezését a következővel: IMA_KEYRINGS_PERMIT_SIGNED_BY_BUILTIN_OR_SECONDARY.”
Ahogyan már említettük, ez szigorúan igaz. az alapértelmezett viselkedéssel engedélyezi az összes MOK-kulcsot a gép kulcstartójába.
A TPMDD lehúzási kérelmet a mai napon küldték ki a Linux 6.4 rendszermaghoz, és tartalmazza ezt az új funkciót.
“A géptulajdonosi kulcsokhoz (MOK) használt.machine kulcstartó képes lett csak a CA által kényszerített tárolására kulcsokat, és helyezze el a.platform kulcstartót, így elválasztja a kódaláíró kulcsokat a tanúsítványok aláírására használt kulcsoktól. Ez lényegében feloldja a.machine kulcstartó használatát az IMA megbízható horgonyként. Ez egy opt-in funkció, ami azt jelenti, hogy a további megszorítások nem akadályoznak meg senkit, aki nem törődik velük.”
Az Integrity Measurement Architecture (IMA) kezelésével kapcsolatos Linux fejlesztések továbbra is nagy érdeklődési kört jelentenek. vállalati érdekelt felek számára.
