Я изучаю архитектуру измерения целостности и пытаюсь реализовать ее на встраиваемом устройстве.
Я включил флаги конфигурации, связанные с IMA, и скомпилировал ядро. Теперь я вижу xattr security.imaи могу устанавливать хэши или подписи через evmctl. Запуск подписанных файлов работает после загрузки ключей в _imaсвязку ключей. На первый взгляд все выглядит не так уж и плохо.
Но когда я проверяю логи, я вижу сообщение об ошибке во время загрузки:
IMA: Чип TPM не обнаружен, активируется обход TPM!
В этом вопросе я не затрагиваю вопрос, почему TPM не найден, но я хотел бы узнать, каковы последствия?
Что в конечном итоге означает обход TPM?
Я предполагаю, что некоторые функции будут отсутствовать, но я не могу найти никакой информации о том, что означает обход TPM и на что это повлияет.
Одна из проблем, с которой я столкнулся, заключается в том, что файл /sys/kernel/security/ima/ascii_runtime_measurements показывает только одну строку и не увеличивается.
Связано ли это с обходом TPM и чего еще мне следует ожидать?
решение1
Из того, что я прочитал, IMA совершенно бесполезен без чипа TPM, скорее всего, обход TPM просто включен в код, чтобы пользователи могли протестировать программное обеспечение, но оно не обеспечит никакой реальной защиты.
Может быть, вы можете попробовать эмулятор TPM, напримерhttps://github.com/PeterHuewe/tpm-emulatorесли вы просто хотите проверить