Una proposta per Fedora 36 è implementare la funzionalità”DIGLIM”del modulo di integrità degli elenchi di digest come funzionalità opzionale per fornire in modo efficace l’attestazione remota e/o l’avvio sicuro a livello di applicazione.
La proposta di funzionalità DIGLIM per Fedora è riassunta come:”Digest Lists Integrity Module (DIGLIM) ha un approccio diverso. Consente a IMA di estendere una PCR in modo prevedibile o di verificare l’autenticità dei file interrogando un repository del kernel di valori di riferimento autenticati, costruito da informazioni già disponibili nei pacchetti esistenti (sezione FILEDIGESTS dell’intestazione RPM, con firma nella sezione RSAHEADER). L’autenticazione della sorgente dati non richiede una gestione aggiuntiva delle chiavi. Con il supporto per le chiavi PGP nel kernel, le chiavi Fedora PGP ufficiali possono essere importate nel portachiavi integrato del kernel e usate per verificare la firma PGP degli header RPM…Un kernel modificato con le patch DIGLIM esporrà allo spazio utente un’interfaccia per aggiungere/rimuovere file digest da la tabella hash del kernel.Un parser dello spazio utente, eseguito dal kernel durante l’avvio anticipato, analizza le intestazioni RPM trovate in/etc/diglim nel disco ram iniziale (incluso con uno script dracut personalizzato) e carica th em al kernel. Quando si accede a un file, IMA calcola il file digest e lo interroga con DIGLIM. Se viene trovato il digest, la misurazione viene saltata e la valutazione ha esito positivo. Se il digest non viene trovato, viene eseguita una misurazione del file e la valutazione non riesce. Quando i pacchetti vengono installati o rimossi, la tabella hash del kernel viene mantenuta sincronizzata con un nuovo plugin rpm.”
DIGLIM era stato precedentemente proposto per Fedora come IMA Digest Lists ma era troppo invasivo. DIGLIM ora può funzionare come modulo autonomo attraverso un processo meno complicato. La speranza è che l’utilizzo di DIGLIM possa portare una maggiore integrità a Fedora e attestabile con il rilevamento più facile di qualsiasi manomissione del suo software.
Vedi la proposta di funzionalità che è stata sollevata da Roberto Sassu di Huawei.
Anche se questa funzionalità può essere facoltativa come un’opzione di installazione o di prima esecuzione, ha ha sollevato un mix di domande e alcune critiche.DIGLIM consente il caricamento di elenchi forniti dall’utente e potrebbe essere disabilitato, ma sono state sollevate preoccupazioni che ciò potrebbe interrompere o comportare in altro modo un lavoro extra quando si utilizzano pacchetti software di terze parti come quelli comunemente ottenuti da RPM Fusion o anche pacchetti creati localmente che causano problemi s come una funzionalità che la maggior parte degli utenti desktop/workstation personali finirebbe probabilmente per disabilitare per essere un peso per l’utente. DIGLIM deve ancora essere considerato un’altra sfida e ostacolo date le politiche di Fedora. Guarda la lunga discussione in corso sulla mailing list di Fedora.
Vedremo dove si dirige questa proposta di funzionalità DIGLIM e se verrà accettata o meno per Fedora 36, tuttavia una funzionalità interessante e qualcosa che vale la pena approfondire per coloro che sono interessati all’informatica affidabile.
