Evmctl: различия между версиями

Версия от 20:03, 16 октября 2019

evmctl - программа для создания и проверки цифровых подписей для IMA/EVM, а также для добавления ключей в набор ключей ядра. Распространяется по лицензии GPL2.0+.

Памятка: ГОСТ алгоритмы поддерживаются в ima-evm-utils с версии v1.2 (2019-07-24), поддержка ГОСТ алгоритмов в ядре Линукс — хэш по ГОСТ 34.11 с версии 5.0 (2019-03-03), ЭЦП по ГОСТ 34.10 с версии 5.2 (2019-07-07). Видео презентация на Linux Security Summit 2019^[1]

Установка

Установить пакет ima-evm-utils

apt-get install ima-evm-utils

Для создания ключей также потребуется программа openssl

apt-get install openssl

Использование

Описание ima-evm-utils находится в файле /usr/share/doc/ima-evm-utils-1.0/README, а так же в man evmctl.

Ниже примеры использования.

Подписи в старом формате v1 (RSA ключи)

Импорт RSA-ключа, подпись файла с помощью этого ключа и проверка подписи файла:

Создание RSA-ключей (для подписей типа v1) и копирование их в каталог /etc/keys, в котором находятся ключи используемые по-умолчанию
```
openssl genrsa -out privkey_evm.pem 1024
openssl rsa -pubout -in privkey_evm.pem -out pubkey_evm.pem
mkdir /etc/keys
cp {pubkey_evm.pem,privkey_evm.pem} /etc/keys
```
Импорт созданного публичного ключа в набор ключей ядра (keyring):
```
evmctl import --rsa /etc/keys/pubkey_evm.pem $evm_id
```
IMA + EVM подпись (формата v1, что характеризуется опцией --rsa) произвольного файла ключом /etc/keys/privkey_evm.pem:
```
evmctl sign --imasig --rsa <название файла>
```
Проверка EVM подписи (IMA не проверяется) по публичному ключу /etc/keys/pubkey_evm.pem:
```
evmctl verify <название файла>
```
В случае соответствия подписи будет выдано сообщение - Verification is OK.

Подписи в новом формате v2 (RSA ключ и x509 сертификат)

Пример конфига для генерации ключа и сертификата от организации "IMA-CA" положить в файл test-ca.conf:

[ req ]
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = v3_ca

[ req_distinguished_name ]
O = IMA-CA
CN = IMA/EVM certificate signing key
emailAddress = ca@ima-ca

[ v3_ca ]
basicConstraints=CA:TRUE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer

Генерация 2048-битного ключа и x509 сертификата (на 10000 дней) с использованиев этого конфига:
```
$ openssl req -verbose -new -nodes -utf8 -sha1 -days 10000 -batch -x509 \
      -config test-ca.conf \
      -newkey rsa:2048 \
      -out x509_evm.der -outform DER \
      -keyout privkey_evm.pem
```
На выходе файл /etc/keys/privkey_evm.pem с приватным ключем и /etc/keys/x509_evm.der с публичным сертификатом.
IMA + EVM подпись (формата v2, что характеризуется отутствием опции --rsa) произвольного файла ключом privkey_evm.pem:
```
evmctl sign --imasig <название файла>
```
Проверка EVM подписи (IMA не проверяется) по публичному сертификату x509_evm.der:
```
evmctl verify <название файла>
```
В случае соответствия подписи будет выдано сообщение - Verification is OK.

Ссылки

Страница проекта на sourceforge.net

↑ Subsystem Update: Linux Integrity Status Update - Mimi Zohar, IBM. англ.

[1] Subsystem Update: Linux Integrity Status Update - Mimi Zohar, IBM. англ.

[1]

@@ Строка 13: / Строка 13: @@
 Описание <i>ima-evm-utils</i> находится в файле <code>/usr/share/doc/ima-evm-utils-1.0/README</code>, а так же в <code>man evmctl</code>.
-=== Простой вариант использования ima-evm-utils ===
+Ниже примеры использования.
+=== Подписи в старом формате v1 (RSA ключи) ===
 Импорт RSA-ключа, подпись файла с помощью этого ключа и проверка подписи файла:<br>
 #Создание RSA-ключей (для подписей типа v1) и копирование их в каталог <code>/etc/keys</code>, в котором находятся ключи используемые по-умолчанию <source>openssl genrsa -out privkey_evm.pem 1024
@@ Строка 20: / Строка 22: @@
 cp {pubkey_evm.pem,privkey_evm.pem} /etc/keys</source>
 #Импорт созданного публичного ключа в набор ключей ядра (keyring): <source>evmctl import --rsa /etc/keys/pubkey_evm.pem $evm_id</source>
-#IMA + EVM подпись (типа v1) произвольного файла ключом <code>/etc/keys/privkey_evm.pem</code>: <source>evmctl sign --imasig --rsa <название файла></source>
+#IMA + EVM подпись (формата v1, что характеризуется опцией <code>--rsa</code>) произвольного файла ключом <code>/etc/keys/privkey_evm.pem</code>: <source>evmctl sign --imasig --rsa <название файла></source>
 #Проверка EVM подписи (IMA не проверяется) по публичному ключу <code>/etc/keys/pubkey_evm.pem</code>: <source>evmctl verify <название файла></source>В случае соответствия подписи будет выдано сообщение - <code>Verification is OK</code>.
+=== Подписи в новом формате v2 (RSA ключ и x509 сертификат) ===
+* Пример конфига для генерации ключа и сертификата от организации "IMA-CA" положить в файл <code>test-ca.conf</code>: <source>[ req ]
+distinguished_name = req_distinguished_name
+prompt = no
+string_mask = utf8only
+x509_extensions = v3_ca
+[ req_distinguished_name ]
+O = IMA-CA
+CN = IMA/EVM certificate signing key
+emailAddress = ca@ima-ca
+[ v3_ca ]
+basicConstraints=CA:TRUE
+subjectKeyIdentifier=hash
+authorityKeyIdentifier=keyid:always,issuer</source>
+* Генерация 2048-битного ключа и x509 сертификата (на 10000 дней) с использованиев этого конфига: <source>$ openssl req -verbose -new -nodes -utf8 -sha1 -days 10000 -batch -x509 \
+      -config test-ca.conf \
+      -newkey rsa:2048 \
+      -out x509_evm.der -outform DER \
+      -keyout privkey_evm.pem</source> На выходе файл <code>/etc/keys/privkey_evm.pem</code> с приватным ключем и <code>/etc/keys/x509_evm.der</code> с публичным сертификатом.
+* IMA + EVM подпись (формата v2, что характеризуется отутствием опции <code>--rsa</code>) произвольного файла ключом <code>privkey_evm.pem</code>: <source>evmctl sign --imasig <название файла></source>
+* Проверка EVM подписи (IMA не проверяется) по публичному сертификату <code>x509_evm.der</code>: <source>evmctl verify <название файла></source> В случае соответствия подписи будет выдано сообщение <code>- Verification is OK</code>.
 == Ссылки ==