Ieri è stato unito a Linux 5.19 come una modifica della finestra post-unione sta rendendo il codice di verifica della firma del kernel conforme a FIPS.
Per la conformità ai FIPS (Federal Information Processing Standards), sono richiesti autotest. I FIPS sono standard pubblici tramite NIST utilizzati dalle agenzie e dagli appaltatori del governo degli Stati Uniti nelle aree della sicurezza informatica e dell’interoperabilità. FIPS 140 per la crittografia delinea i requisiti relativi agli autotest. I test automatici con risposta nota sono necessari per la conformità FIPS all’avvio/riavvio, ma il codice di verifica della firma del kernel Linux non ha tali test. Il codice di controllo della firma viene utilizzato per la firma del modulo, Kexec e altre funzionalità. Con Linux 5.19 ci saranno ora alcuni autotest di base all’inizio.
David Howells di Red Hat ha spiegato:”Il codice di controllo della firma, utilizzato da module signature, kexec, ecc., non è conforme a FIPS in quanto non esiste un test automatico. Affinché un kernel sia conforme a FIPS , il controllo della firma dovrebbe essere testato prima di essere utilizzato e la casella dovrebbe andare nel panico se non è disponibile (probabilmente ragionevole poiché la semplice disabilitazione del controllo della firma ti impedirebbe di caricare qualsiasi modulo driver). Affronta questo aggiungendo un test minimo.”
Questo supporto è stato unito ieri alla linea principale e questo autotest FIPS farà parte di Linux 5.19-rc4.
