Содержание

Перейти к концу метаданных
Переход к началу метаданных

Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:

  • исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);
  • исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
  • ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не проверяется (отладочный режим для тестирования СПО).

Включение замкнутой программной среды:


В каталог /etc/digsig/keys необходимо поместить(при наличии) переданный публичный ключ (например компания_pub_key.gpg)

В файле /etc/digsig/digsig_initramfs.conf установить параметры:

/etc/digsig/digsig_initramfs.conf
DIGSIG_ENFORCE=1 
DIGSIG_LOAD_KEYS=1

Выполнить:

update-initramfs -u -k all
Перезагрузить ЭВМ.

Без публичного ключа (*_pub_key.gpg) Вашей компании, возможна работа только пакетов из состава дистрибутива операционной системы специального назначения "Astra Linux Special Edition".



Для подписи Ваших пакетов воспользуйтесь этим скриптом(потребуется заменить идентификатор ключа).

Перед подписыванием пакетов необходимо импортировать секретный и публичный ключи переданные Вашей организации (gpg --import ***.gpg, gpg --import ***.key). Посмотреть идентификатор импортированного ключа можно командой gpg --list-keys.

Отдельные файлы ELF можно подписать командой bsign -s, секретный и публичный ключи переданные Вашей организации должны быть импортированы.