Estoy investigando la arquitectura de medición de integridad e intento habilitarla en un dispositivo integrado.
Habilité los indicadores de configuración relacionados con IMA y compilé el kernel. Ahora puedo ver xattr security.imay configurar hashes o firmas mediante evmctl. La ejecución de archivos firmados funciona después de cargar las claves en _imael llavero. A primera vista no parece tan malo.
Pero cuando reviso los registros puedo ver un mensaje de error durante el inicio:
IMA: ¡No se encontró ningún chip TPM, activando la derivación de TPM!
En esta pregunta no estoy abordando el tema de por qué no se encuentra el TPM, pero me gustaría saber ¿cuáles son las consecuencias?
¿Qué significa al final la derivación de TPM?
Supongo que faltarán algunas funciones, pero no puedo encontrar ninguna información sobre qué significa la derivación de TPM y qué se verá afectado.
Un problema al que me enfrento es que el archivo /sys/kernel/security/ima/ascii_runtime_measurements solo muestra una línea y no crece.
¿Está eso relacionado con la omisión de TPM y qué más debo esperar?
Respuesta1
Por lo que he leído, IMA es totalmente inútil sin un chip TPM, lo más probable es que la derivación de TPM solo esté incluida en el código para que los usuarios puedan probar el software, pero no proporcionará ninguna protección real.
Quizás puedas probar un emulador TPM comohttps://github.com/PeterHuewe/tpm-emulatorsi solo quieres probar