Справочный центр

Дерево страниц

Сравнение версий

Старая версия 7

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 8

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление



Предупреждение

Все действия осуществляются от непривилегированного пользователя, если не указано иное.


Информация

В данной статье:

  • Название организации принято за ORG;
  • Подписываемый файл test_elf находится в том же каталоге, что и ключи, используемые для подписывания.



Информация
titleДанная статья применима к:
  • ОС СН Смоленск 1.5
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1


Перед подписыванием

  • Ознакомиться с пунктом 16. ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ документации "Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1";
  • Изучить программную документацию man bsign и man gpg;
  • Убедиться в наличии и доступности комплекта ключей, полученных по запросу от Astra Linux;
    • При отсутствии комплекта ключей - запросить его генерацию;

    • Если комплект ключей получен в виде ISO-образа - примонтировать этот образ или распаковать файлы

      Предупреждение
      При извлечении и хранении комплекта ключей соблюдать меры безопасности для предотвращения несанкционированного доступа к секретному ключу и паролю.


  • Убедиться в необходимости подписывания: если тип файла не ELF - нет необходимости его подписывать. Проверить тип файла можно с помощью команды file. Например, для файла /bin/bash:

    Command
    Titlefile /bin/bash
    /bin/bash: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=30bada4dfa11f45a96a5993d4c2fd41a27a61663, stripped


  • Архивы и deb-файлы необходимо предварительно распаковать для анализа содержащихся в них файлов.

Импорт секретного ключа

Перейти в каталог с ключами и импортировать секретный ключ из полученного комплекта ключей:
Command
gpg --import ORG_secret.gpg

Будет запрошен пароль для выполнения операции импорта.

Информация

Для версии дистрибутива ОС СН Смоленск 1.5 запроса пароля не производится.

Пароль находится в этом же каталоге в файле ORG_password.txt. Будьте аккуратны при копировании в буфер обмена - символ перевода строки будет распознан соответственно. Во избежание ошибок при вводе пароля, можно использовать дополнительные опции при импорте:

Command
gpg --import --pinentry-mode=loopback --passphrase-file=ORG_password.txt ORG_secret.gpg

В примере выше опция --passphrase-file позволяет не запрашивать пароль, а прочитать его  из файла, указанного в этой опции.

Далее проверить список импортированных ключей и запомнить идентификатор ключа ORG_secret_key_id:

Command
gpg --list-secret-keys

Идентификатор ключа в выводе команды:

  • В ОС СН Смоленск 1.6 и Ленинград 8.1 длинная строка из сорока шестнадцатиричных цифр;
  • В ОС СН Смоленск1.5 идентификатор ключа имеет длину 8 символов и указывается через "слэш" после алгоритма.
Информация

Модуль gpg и модуль digsig_verif - абсолютно не связаны и независимы. Список импортированных ключей в gpg никак не влияет на проверку исполняемых файлов при включении режима замкнутой программной среды (ЗПС).

Выполнение подписывания

Теперь подпишем тестовый ELF-файл test_elf с помощью команды bsign:

Command

bsign -s test_elf

Если импортирован только один ключ, можно ограничиться вышеуказанной командой без каких-либо опций. При наличии нескольких ключей, можно указать, каким именно ключом следует подписать файл:

Command

bsign -s --pgoptions="--default-key=ORG_secret_key_id" test_elf


Предупреждение

При подписывании файлов из командной строки без использования графической оболочки (например по ssh), требуется использовать дополнительные опции, т.к. в этом случае не будет выдан графический запрос на ввод пароля, и подписывание завершится ошибкой. В таком случае можно использовать команду bsign со следующими опциями:

Command
bsign -N -s --pgoptions="--batch --pinentry-mode=loopback --passphrase-file=ORG_password.txt --default-key=ORG_secret_key_id" test_elf

Данная особенность не актуальна для версии ОС СН Смоленск 1.5, т.к. в этой версии не используется графический запрос на ввод пароля. Соответственно и нет нужды использовать дополнительные опции bsign.

После того, как файл подписан, можно проверить подпись:

Command

bsign -w test_elf

Для удобства подписывания deb-пакетов, можно воспользоваться данной инструкцией.

Теперь можно использовать подписанный ELF файл на клиентских машинах.

Для запуска файла без ошибок в режиме замкнутой программной среды (ЗПС), потребуется поместить публичный ключ ORG_pub.key в директорию /etc/digsig/keys и выполнить команду:

Command

sudo update-initramfs -uk all

После перезагрузки машины, возможен запуск подписанных ELF файлов.

Информация

Если ПО было подписано ранее, ключами, сгенерированными для версий ОС СН Смоленск 1.5 и ниже, то обеспечить работу такого ПО в режиме ЗПС можно установив пакет astra-digsig-oldkeys. В таком случае открытые ключи необходимо размещать в директории /etc/digsig/keys/legacy/keys/



Информация

Дополнительные информационные материалы: