Fedora36の提案はアプリケーションレベルでリモートアテステーションおよび/またはセキュアブートを効果的に提供するためのオプション機能として、ダイジェストリスト整合性モジュール「DIGLIM」機能を実装します。
FedoraのDIGLIM機能の提案は次のように要約されます。「ダイジェストリスト整合性モジュール(DIGLIM)は異なるアプローチを取ります。これにより、IMAは予測可能な方法でPCRを拡張したり、in-にクエリを実行してファイルの信頼性を検証したりできます。既存のパッケージですでに利用可能な情報から構築された、認証された参照値のカーネルリポジトリ(RPMヘッダーのFILEDIGESTSセクション、RSAHEADERセクションの署名付き)。データソース認証には、追加のキー管理は必要ありません。カーネルでのPGPキーのサポートにより、公式のFedoraPGPキーは、カーネルの組み込みキーリングにインポートして、RPMヘッダーのPGP署名を検証するために使用できます… DIGLIMパッチを使用して変更されたカーネルは、ファイルダイジェストを追加/削除するためのインターフェイスをユーザースペースに公開しますカーネルハッシュテーブル。アーリーブート中にカーネルによって実行されるユーザースペースパーサーは、初期ramディスク(カスタムdracutスクリプトに含まれる)の/etc/diglimにあるRPMヘッダーを解析し、thをアップロードします。カーネルへのem。ファイルにアクセスすると、IMAはファイルダイジェストを計算し、DIGLIMでクエリします。ダイジェストが見つかった場合、測定はスキップされ、評価は成功します。ダイジェストが見つからない場合、ファイルの測定が実行され、評価は失敗します。パッケージがインストールまたは削除されると、カーネルハッシュテーブルは新しいrpmプラグインと同期されたままになります。」
DIGLIMは以前にIMAダイジェストリストとしてFedoraに提案されていましたが、侵襲的すぎました。DIGLIMは現在あまり複雑でないプロセスによるスタンドアロンモジュール。DIGLIMを使用すると、Fedoraの整合性が向上し、ソフトウェアの改ざんをより簡単に検出できることを証明できるようになることが期待されます。
機能の提案はHuaweiのRobertoSassuによって提起されました。
この機能はインストーラーオプションや初回実行などのオプションですが、 DIGLIMはユーザー提供のリストをロードすることを許可し、無効にすることができますが、RPM Fusionから一般的に取得されるようなサードパーティのソフトウェアパッケージを使用すると、これが壊れたり、余分な作業が必要になるという懸念が提起されました。またはローカルでビルドされたパッケージでさえ問題を引き起こしますs機能のように、ほとんどの個人用デスクトップ/ワークステーションユーザーは、少なくともユーザーの負担であるために無効になってしまう可能性があります。また、Fedoraのポリシーを考えると、DIGLIMは、もう1つの課題および障害としてまだ主流化されていません。 Fedoraメーリングリストで行われている長い議論をご覧ください。
このDIGLIM機能の提案がどこに向かうのか、そしてそれがFedora 36で取り上げられるかどうかを確認しますが、それでも、信頼できるコンピューティングに関心のある人にとっては興味深い機能であり、掘り下げる価値のあるものです。
