昨天合併到Linux 5.19中的改進使內核的簽名驗證代碼符合FIPS標準。為了符合FIPS(聯邦信息處理標準),操作系統需要進行自我測試工作。FIPS是通過NIST的公共標準,由美國政府機構和承包商在計算機安全和互操作性領域使用。
用於密碼學的FIPS140概述了圍繞自我測試的要求,在啟動/重啟時,實施已知答案的自測試是符合FIPS要求的條件,但Linux內核的簽名驗證代碼一直缺乏這種測試。
簽名檢查代碼被用於模塊簽名、Kexec和其他功能,隨着Linux 5.19的推出,現在在啟動時,操作系統會進行一些基本的自我測試。
紅帽公司的David Howells解釋說:”模塊簽名、Kexec等使用的簽名檢查代碼是不符合FIPS標準的,因為一直以來都沒有部署自我測試流程。為了使內核符合FIPS標準,簽名檢查必須在使用前進行測試,如果簽名檢查不可用,在特定情況下可能會造成一些麻煩(例如簡單地禁用簽名檢查將阻止加載任何驅動模塊)。內核代碼現在通過增加一個最小規模的測試來處理這個問題。”
這項FIPS密碼學支持昨天被合併到Linux主線上,從而讓這個FIPS自測試成為Linux 5.19-rc4的一部分。
了解更多:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=0273fd423b2fe10af96ff713273137c63a7736c0