Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Илья Голиков

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Илья Голиков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:
1)

  • исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);

...

  • исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);

...

  • ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не

...

  • проверяется (отладочный режим для тестирования СПО).

Пример активизации режима замкнутой программной среды


Для запуска замкнутой программной среды выполните:
1)

  1. необходимо отредактировать файл /etc/digsig/digsig_initramfs.conf, для проверки режима выставите в нем DIGSIG_LOAD_KEYS=1 и DIGSIG_ENFORCE=0, в дальнейшем можно поменять на 1 1 (потребуется повторное выполнение пунктов 3-5);

...

  1. скопируйте ключи primary_key.gpg и key_for_signing.gpg из /etc/digsig в /etc/digsig/keys/. Скопируйте ключ переданный_Вам_ключ.gpg в /etc/digsig/keys/, если такой имеется;

...

  1. выпоните скрипт /etc/digsig/digsig_initramfs;

...

  1. выпоните команду update-initramfs -u -k all;

...

  1. перезагрузите компьютер.


Этого достаточно для включения режима замкнутой программной среды.

Для подписи Ваших пакетов воспользуйтесь этим скриптом, только замените в нем идентификатор ключа. Перед подписыванием пакетов необходимо импортировать секретный и публичный ключи переданные Вашей организации (gpg --import ***.gpg, gpg --import ***.key). Посмотреть идентификатор импортированного ключа можно командой gpg --list-keys.

Отдельные файлы ELF можно подписать командой bsign -s, секретный и публичный ключи переданные Вашей организации должны быть импортированы.