私は整合性測定アーキテクチャを詳しく調べ、組み込みデバイスでそれを有効にしようとしています。
IMA 関連の設定フラグを有効にしてカーネルをコンパイルしました。これで xattr が表示されsecurity.ima、 経由でハッシュまたは署名を設定できますevmctl。署名されたファイルの実行は、キーを_imaキーリングにロードした後に機能します。一見すると、それほど悪くないように見えます。
しかし、ログを確認すると、起動中にエラー メッセージが表示されます。
IMA: TPM チップが見つかりません。TPM バイパスを有効にします。
この質問では、TPM が見つからない理由については触れていませんが、その結果はどうなるのかを知りたいです。
結局のところ、TPM バイパスとはどういう意味ですか?
いくつかの機能が欠落していると思われますが、TPM バイパスが何を意味し、何が影響を受けるのかについての情報が見つかりません。
私が直面している問題の 1 つは、ファイル /sys/kernel/security/ima/ascii_runtime_measurements に 1 行しか表示されず、サイズが拡大しないことです。
これは TPM バイパスに関連していますか? 他に何を期待すべきでしょうか?
答え1
私が読んだところによると、IMAはTPMチップなしではまったく役に立たず、TPMバイパスはユーザーがソフトウェアをテストできるようにコードに含まれているだけであり、実際の保護は提供されない可能性が高い。
次のようなTPMエミュレータを試してみるのもいいかもしれませんhttps://github.com/PeterHuewe/tpm-エミュレータテストしたいだけなら