Hlavní navigace

Možnost podepsat ELF binárky se blíží

Sdílet

Petr Krčmář 16. 1. 2013

Vivek Goyal ze společnosti Red Hat připravil nové jaderné patche, které umožní digitálně podepisovat a ověřovat ELF binárky v Linuxu. Podpora je velmi podobná chystanému podepisování jaderných modulů, které nás čeká ve verzi 3.7. Patche a utilita signelf jsou jen úvodní implementací a Goyal čeká na zpětnou vazbu od dalších vývojářů. Zatím je také podporováno jen podepisování staticky linkovaných binárek. Motivací za vytvářením tohoto řešení je možnost podepsat /sbin/kexec kvůli bezpečnému průběhu securebootu, při kterém si pak nikdo nebude moci podvrhnout vlastní jádro.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 16. 1. 2013 16:29

    vlado

    Vyzerá to celkom pekne, ale keďže si kernel a všetko okolo toho zostavujem sám, je mi to zbytočné. Ak si dokážem moduly podpisovať sám, môže to podpísať hocikto, takže môže podpísať aj hocijaký podvrhnutý kód.

  • 16. 1. 2013 16:50

    Duff (neregistrovaný) ---.net.upcbroadband.cz

    Ale nemůže ho podepsat třeba klíčem Red Hatu nebo jiné distribuce protože ten klíč nevlastní.

  • 16. 1. 2013 17:00

    ps (neregistrovaný) 155.56.68.---

    Funkcionalitu síce nepoznám, ale myslím že to nie je úplne pravda.
    Môžeš si zostaviť a podpísať systém na jednej mašine a používať na inej mašine na ktorej už bude k dispozícii iba verejný kľúč.