Верификация подписи запускаемого бинаря

Dm-verity, если нужна верификация прямо всего раздела (как правило, он read-only). В андроидах повсеместно используется.

Когда уже в гейос вообще исчезнут эти бинари, файлы и прочее? Нужен только эмейзинг и кнопки ‘купить’

А подпись вроде уже давно в MacOS и фиг знает сколько в Windows.

Как подписать ELF даже не знаю. Ну, так чтобы эту подпись включить в сам эльф.

Интересно. Но это типа для всей партиции, как я понял. Т.е. нельзя типа выборочно проверять только конкретную директорию или файл.

Начиная с Linux 3.7 есть IMA-appraisal, подпись кладётся в xattrs (security.ima).

Ну, так чтобы эту подпись включить в сам эльф.

С помощью bsign.

Подписи это принципиально неправильный путь, используй полнодисковое шифрование что бы гарантировать от «тупо подмонтировал фс с другого компа»

Подписи это принципиально неправильный путь, используй полнодисковое шифрование что бы гарантировать от «тупо подмонтировал фс с другого компа»

Одно другому не третье. Это разные механизмы, защищающие от разных атак.

Вот, например, если в системе нешифрованный раздел, как мне узнать, что какой-то умник не заменил код программы, тупо подмонтровав ФС с другого компа?

Если у умника есть права монтировать ФС на твоей оси, то у тебя у тебя проблемы побольше потенциальной подмены кода??

По теме - сомнительные фичи с подписями и нотаризациями не нужны. Они и сейчас уже бесят, как салатик.

sudo debsums

проверит указанные чексуммы для всех файлов из установленных пакетов. Программа (скрипт) то ли 2000 то ли 2002 года. в 2004 я её уже использовал.

Ну, так чтобы эту подпись включить в сам эльф

Это не нужно. Для этого есть package в котором (что в deb, что в rpm) это есть для всех файлов пакета, которые можно всегда проверить.

Хм, интересно, спасибо.

Это довольно типичная ситуация, когда продается девайс с готовым коммерческим решением (хард плюс софт), и производитель во-первых, не хочет, чтобы было украдено IP, хранящееся на ФС, во-вторых, не хочет отвечать за васянские сборки своего продукта и терять прибыль.

Включение шифрования может быть проблематично в данном случае, ибо оно не бесплатно с т.з. ресурсов CPU, расхода батареи и проч. К тому же, усложняется механизм апдейтов.

Пока так понял, что логично подобную фичу реализовывать в пакетном менеджере и пакетах.

Upd: да, кенечно, от кражи ip это не особо спасет, остается только юзкейс с васянскими сборками.

Они просто хотят выкинуть опенсорс на мороз. Не хочешь платить 100 баксов в год за воздух - страдай.

Придумают какую-нибудь лазейку с ad-hoc сертификатом. Это как с UEFI/SecureBoot было, когда объявили фичу, тут на ЛОР истерика случилась, типа, линуксокапец настал. Не настал.

как мне узнать, что какой-то умник не заменил код программы, тупо подмонтровав ФС с другого компа?

Снимаешь хэши с каждого файла на диске, потом эти хэши проверяешь. Естественно, делать всё это гшарантировано чистой системой. И никакая подпись не даст тебе гарантию, что васян с платным аккаунтом Apply-ID не даст тебе подписанный бинарь с бэкдором.

Так давно уже ключи потоков проверяются во всяких дебьянаях, васяподелки трэбуэ руками вписывать ключеги же. Имхо в ляликсах проверка целостности чуть ли не первой появилась. Ну тут 7орочка может ещё конкурировать немного, надо доставать кирку и шлем с фонарём что бы точно убедиться, но на поток - в онотопике оно явно первым было поставлено.

А в рабоче-крестьянском Linux что-то подобное есть?

linux-ima