From 56bd22edf4b85351b6d15fbb83ffa72fbcfb2bec Mon Sep 17 00:00:00 2001
From: Thomas Kuschel <thomas@kuschel.at>
Date: Mon, 17 Mar 2025 21:54:38 +0100
Subject: [PATCH] ADD Integrity subsystem

---
 documentation/linux_configuration.pdf         |  4 +-
 ...inux_configuration_17_security_options.tex | 66 +++++++++++++++++++
 2 files changed, 68 insertions(+), 2 deletions(-)

diff --git a/documentation/linux_configuration.pdf b/documentation/linux_configuration.pdf
index 792dd3d..fea3040 100644
--- a/documentation/linux_configuration.pdf
+++ b/documentation/linux_configuration.pdf
@@ -1,3 +1,3 @@
 version https://git-lfs.github.com/spec/v1
-oid sha256:98bb853ebe9580dd3035e9404d6deb1142c1c375293137cdd9ef602bfad8305a
-size 299846
+oid sha256:ddc606612bae8c01ab78dfbbe843138549b6f372d4df25fcd6d20b704ddb6e17
+size 305725
diff --git a/documentation/linux_configuration_17_security_options.tex b/documentation/linux_configuration_17_security_options.tex
index ca5310d..663c035 100644
--- a/documentation/linux_configuration_17_security_options.tex
+++ b/documentation/linux_configuration_17_security_options.tex
@@ -661,3 +661,69 @@ Wenn Sie unsicher sind, lassen Sie das Feld leer.
 This policy will be enforced until a policy update is deployed via the \texttt{\$securityfs/ipe/policies/\$policy\_name/active} interface.\\
 If unsure, leave blank.}
 
+\subsubsection{IPE policy update verification with secondary keyring}
+CONFIG\_IPE\_POLICY\_SIG\_SECONDARY\_KEYRING [=y] \textbf{[Y]}\\
+Erlauben Sie auch dem sekundären vertrauenswürdigen Schlüsselbund, IPE-Richtlinienaktualisierungen zu überprüfen.\\
+Wenn Sie unsicher sind, antworten Sie mit Y für Ja.
+\english{Also allow the secondary trusted keyring to verify IPE policy updates.\\
+If unsure, answer Y.}
+
+\subsubsection{IPE policy update verification with platform keyring}
+CONFIG\_IPE\_POLICY\_SIG\_SECONDARY\_KEYRING [=y] \textbf{[Y]}\\
+Erlauben Sie außerdem, dass der vertrauenswürdige Schlüsselbund der Plattform IPE"=Richt\-linien\-aktuali\-sie\-rungen überprüft.\\
+Wenn Sie unsicher sind, antworten Sie mit Y für Ja.
+\english{Also allow the platform trusted keyring to verify IPE policy updates.\\
+If unsure, answer Y.}
+
+\subsubsection{IPE Trust Providers \texorpdfstring{$\longrightarrow$}{->}}
+\textit{IPE-Vertrauenspersonen}
+
+\paragraph{Enable support for dm-verity based on root hash}$~$\\
+CONFIG\_IPE\_PROP\_DM\_VERITY [=y] \textbf{[Y]}\\
+Diese Option aktiviert die Eigenschaft \glqq dmverity\_roothash\grqq{} in IPE-Richtlinien.
+Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei von einem dm-verity-Volume ausgewertet wird
+und der Root-Hash des Volumes mit dem in der Richtlinie angegebenen Wert übereinstimmt.
+\english{This option enables the `dmverity\_roothash' property within IPE policies.
+The property evaluates to TRUE when a file from a dm-verity volume is evaluated, and the volume's root hash matches the value supplied in the policy.}
+
+
+\paragraph{Enable support for dm-verity based on root hash signature}$~$\\
+CONFIG\_IPE\_PROP\_DM\_VERITY\_SIGNATURE [=y] \textbf{[Y]}\\
+Diese Option aktiviert die Eigenschaft \glqq dmverity\_signature\grqq{} innerhalb von IPE-Richtlinien.
+Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei von einem dm-verity-Volume, das mit einem gültigen signierten Root-Hash gemountet wurde,  ausgewertet wird.
+Wenn Sie unsicher sind, antworten Sie mit Y.
+\english{This option enables the `dmverity\_signature' property within IPE policies.
+The property evaluates to TRUE when a file from a dm-verity volume, which has been mounted with a valid signed root hash, is evaluated.\\
+If unsure, answer Y.}
+
+
+\paragraph{Enable support for fs-verity based on file digest}$~$\\
+CONFIG\_IPE\_PROP\_FS\_VERITY [=y] \textbf{[Y]}\\
+Diese Option aktiviert die Eigenschaft \glqq fsverity\_digest\grqq{} in IPE-Richtlinien.
+Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei \texttt{fsverity} aktiviert ist und ihr Digest-Wert mit dem in der Richtlinie angegebenen Digest-Wert übereinstimmt.\\
+Wenn Sie unsicher sind, antworten Sie mit Y.
+\english{This option enables the `fsverity\_digest' property within IPE policies.
+The property evaluates to TRUE when a file is fsverity enabled and its digest matches the supplied digest value in the policy.\\
+if unsure, answer Y.}
+
+
+\paragraph{Enable support for fs-verity based on builtin signature}$~$\\
+CONFIG\_IPE\_PROP\_FS\_VERITY\_BUILTIN\_SIG [=y] \textbf{[Y]}\\
+Diese Option aktiviert die Eigenschaft \glqq fsverity\_signature\grqq{} in IPE-Richtlinien.
+Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei \texttt{fsverity} aktiviert ist und eine gültige eingebaute Signatur hat,
+deren Signierzertifikat sich im .fs-verity-Schlüsselbund befindet.\\
+Wenn Sie unsicher sind, antworten Sie mit Y.
+\english{This option enables the `fsverity\_signature' property within IPE policies.
+The property evaluates to TRUE when a file is fsverity enabled and it has a valid builtin signature whose signing cert is in the .fs-verity keyring.\\
+if unsure, answer Y.}
+
+%17.25
+\subsection{Integrity subsystem}
+CONFIG\_INTEGRITY [=y] \textbf{[Y]}\\
+Mit dieser Option wird das Integritäts-Subsystem aktiviert, das aus einer Reihe verschiedener Komponenten besteht, darunter die Integritätsmessarchitektur (IMA),
+das erweiterte Verifizierungsmodul (EVM), die IMA-Bewertungserweiterung, die Erweiterung für die Verifizierung digitaler Signaturen
+und die Unterstützung von Audit-Messprotokollen.\\
+Jede dieser Komponenten kann separat aktiviert/deaktiviert werden. Weitere Einzelheiten finden Sie bei den einzelnen Komponenten.
+\english{This option enables the integrity subsystem, which is comprised of a number of different components including the Integrity Measurement Architecture (IMA),
+Extended Verification Module (EVM), IMA-appraisal extension, digital signature verification extension and audit measurement log support.\\
+Each of these components can be enabled/disabled separately. Refer to the individual components for additional details.}