Предложена система проверки исполняемых файлов для Linux
Компания Red Hat представила патчи для Linux, в которые встроена верификация исполняемых файлов ELF-формата. В процессе используются цифровые подписи. С помощью новинки обеспечивается дополнительная поддержка механизма безопасной загрузки UEFI Secure Boot.
Для реализации данной системы верификации был заблокирован ряд возможностей, которые могли при определенных условиях позволить изменить последовательность загружаемых модулей и таким образом миновать проверку цифровых подписей при загрузке ядра. Например, с помощью механизма kexec. Чтобы противодействовать несанкционированному доступу было предложено внедрить проверку цифровой подписи для /sbin/kexec, который нужен при загрузке новых ядер с одновременным использованием sys_kexec().
Обеспечение проверки исполняемых файлов позволяет выполнять команду kdump при загрузке ядер в режиме UEFI Secure Boot.
В дополнение к описанным выше патчам предложена утилита signelf, позволяющая заверять закрытыми ключами и сертификатами х509 исполняемые ELF-файлы. Ключи создаются в процессе сборки ядра Linux, если к ним применяется режим верификации. На этапе выполнения exec() ядро проводит проверку наличия цифровой подписи и ее верификацию. Процесс выполнения программы будет остановлен и блокирован, если файл имеет подпись, и она не соответствует ключу.
На данный момент можно обеспечить подпись только для исполняемых файлов, слинкованных статически. Невозможна поддержка динамического связывания ввиду того, что подписи должны формироваться для всех библиотек. Также не блокируется обращение к dlopen(), поэтому при создании подписей необходимо вручную проверять, используется ли данная функция в программе.
Следует отметить существование и других проектов, сохраняющих целостность исполняемых файлов путем их защиты цифровыми подписями. К ним относится интегрированная инфраструктура Integrity Management Architecture (IMA), а также системы Digital Signature in the Kernel (DigSig) и Distributed Security Infrastructure (DSI). Две последние представлены компанией Ericsson.