Wczoraj połączono z systemem Linux 5.19 jako zmiana okna po scaleniu sprawia, że kod weryfikacji podpisu jądra jest zgodny ze standardem FIPS.
W celu zapewnienia zgodności ze standardami FIPS (Federal Information Processing Standards) wymagane są autotesty. FIPS to standardy publiczne za pośrednictwem NIST, używane przez agencje rządowe USA i wykonawców w obszarach bezpieczeństwa komputerowego i interoperacyjności. FIPS 140 dla kryptografii określa wymagania dotyczące autotestów. Autotesty ze znanymi odpowiedziami są wymagane w celu zapewnienia zgodności z FIPS podczas uruchamiania/ponownego uruchamiania, ale w kodzie weryfikującym podpisy jądra Linuksa brakuje takich testów. Kod sprawdzania podpisu jest używany do podpisywania modułów, Kexec i innych funkcji. W Linuksie 5.19 na początku będzie kilka podstawowych autotestów.
David Howells z Red Hat wyjaśnił: „Kod sprawdzania podpisów, używany przez podpisywanie modułów, kexec itp., jest niezgodny z FIPS, ponieważ nie ma autotestu. Aby jądro było zgodne z FIPS , sprawdzanie podpisów musiałoby zostać przetestowane przed użyciem, a pole musiałoby wpaść w panikę, gdyby nie było dostępne (prawdopodobnie rozsądne, ponieważ samo wyłączenie sprawdzania podpisów uniemożliwiłoby ładowanie jakichkolwiek modułów sterowników). Rozpraw się z tym, dodając minimalny test.”
Ta obsługa została połączona wczoraj do mainline, a autotesty FIPS będą częścią Linuksa 5.19-rc4.