Estou investigando a Arquitetura de Medição de Integridade e tento habilitá-la em um dispositivo incorporado.
Ativei os sinalizadores de configuração relacionados ao IMA e compilei o kernel. Agora posso ver o xattr security.imae definir hashes ou assinaturas via evmctl. A execução de arquivos assinados funciona após carregar as chaves no _imachaveiro. À primeira vista não parece tão ruim.
Mas quando verifico os logs, vejo uma mensagem de erro durante a inicialização:
IMA: Nenhum chip TPM encontrado, ativando o bypass TPM!
Nesta questão não estou abordando o motivo pelo qual o TPM não foi encontrado, mas gostaria de saber quais são as consequências?
O que significa bypass TPM no final?
Presumo que faltarão algumas funcionalidades, mas não consigo encontrar nenhuma informação sobre o que significa o desvio de TPM e o que será afetado.
Um problema que enfrento é que o arquivo /sys/kernel/security/ima/ascii_runtime_measurements mostra apenas uma linha e não cresce.
Isso está relacionado ao desvio do TPM e o que mais devo esperar?
Responder1
Pelo que li, o IMA é totalmente inútil sem um chip TPM, provavelmente o desvio do TPM está apenas incluído no código para que os usuários possam testar o software, mas não fornecerá nenhuma proteção real
Talvez você possa tentar um emulador TPM comohttps://github.com/PeterHuewe/tpm-emulatorse você quiser apenas testar