ADD Integrity subsystem

2025-03-17 21:54:38 +01:00
parent 8ab9be7071
commit 56bd22edf4
2 changed files with 68 additions and 2 deletions
--- a/documentation/linux_configuration.pdf
+++ b/documentation/linux_configuration.pdf
@@ -1,3 +1,3 @@
 version https://git-lfs.github.com/spec/v1
-oid sha256:98bb853ebe9580dd3035e9404d6deb1142c1c375293137cdd9ef602bfad8305a
+oid sha256:ddc606612bae8c01ab78dfbbe843138549b6f372d4df25fcd6d20b704ddb6e17
-size 299846
+size 305725
--- a/documentation/linux_configuration_17_security_options.tex
+++ b/documentation/linux_configuration_17_security_options.tex
@@ -661,3 +661,69 @@ Wenn Sie unsicher sind, lassen Sie das Feld leer.
 This policy will be enforced until a policy update is deployed via the \texttt{\$securityfs/ipe/policies/\$policy\_name/active} interface.\\
 If unsure, leave blank.}
 \subsubsection{IPE policy update verification with secondary keyring}
 CONFIG\_IPE\_POLICY\_SIG\_SECONDARY\_KEYRING [=y] \textbf{[Y]}\\
 Erlauben Sie auch dem sekundären vertrauenswürdigen Schlüsselbund, IPE-Richtlinienaktualisierungen zu überprüfen.\\
 Wenn Sie unsicher sind, antworten Sie mit Y für Ja.
 \english{Also allow the secondary trusted keyring to verify IPE policy updates.\\
 If unsure, answer Y.}
 \subsubsection{IPE policy update verification with platform keyring}
 CONFIG\_IPE\_POLICY\_SIG\_SECONDARY\_KEYRING [=y] \textbf{[Y]}\\
 Erlauben Sie außerdem, dass der vertrauenswürdige Schlüsselbund der Plattform IPE"=Richt\-linien\-aktuali\-sie\-rungen überprüft.\\
 Wenn Sie unsicher sind, antworten Sie mit Y für Ja.
 \english{Also allow the platform trusted keyring to verify IPE policy updates.\\
 If unsure, answer Y.}
 \subsubsection{IPE Trust Providers \texorpdfstring{$\longrightarrow$}{->}}
 \textit{IPE-Vertrauenspersonen}
 \paragraph{Enable support for dm-verity based on root hash}$~$\\
 CONFIG\_IPE\_PROP\_DM\_VERITY [=y] \textbf{[Y]}\\
 Diese Option aktiviert die Eigenschaft \glqq dmverity\_roothash\grqq{} in IPE-Richtlinien.
 Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei von einem dm-verity-Volume ausgewertet wird
 und der Root-Hash des Volumes mit dem in der Richtlinie angegebenen Wert übereinstimmt.
 \english{This option enables the `dmverity\_roothash' property within IPE policies.
 The property evaluates to TRUE when a file from a dm-verity volume is evaluated, and the volume's root hash matches the value supplied in the policy.}
 \paragraph{Enable support for dm-verity based on root hash signature}$~$\\
 CONFIG\_IPE\_PROP\_DM\_VERITY\_SIGNATURE [=y] \textbf{[Y]}\\
 Diese Option aktiviert die Eigenschaft \glqq dmverity\_signature\grqq{} innerhalb von IPE-Richtlinien.
 Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei von einem dm-verity-Volume, das mit einem gültigen signierten Root-Hash gemountet wurde,  ausgewertet wird.
 Wenn Sie unsicher sind, antworten Sie mit Y.
 \english{This option enables the `dmverity\_signature' property within IPE policies.
 The property evaluates to TRUE when a file from a dm-verity volume, which has been mounted with a valid signed root hash, is evaluated.\\
 If unsure, answer Y.}
 \paragraph{Enable support for fs-verity based on file digest}$~$\\
 CONFIG\_IPE\_PROP\_FS\_VERITY [=y] \textbf{[Y]}\\
 Diese Option aktiviert die Eigenschaft \glqq fsverity\_digest\grqq{} in IPE-Richtlinien.
 Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei \texttt{fsverity} aktiviert ist und ihr Digest-Wert mit dem in der Richtlinie angegebenen Digest-Wert übereinstimmt.\\
 Wenn Sie unsicher sind, antworten Sie mit Y.
 \english{This option enables the `fsverity\_digest' property within IPE policies.
 The property evaluates to TRUE when a file is fsverity enabled and its digest matches the supplied digest value in the policy.\\
 if unsure, answer Y.}
 \paragraph{Enable support for fs-verity based on builtin signature}$~$\\
 CONFIG\_IPE\_PROP\_FS\_VERITY\_BUILTIN\_SIG [=y] \textbf{[Y]}\\
 Diese Option aktiviert die Eigenschaft \glqq fsverity\_signature\grqq{} in IPE-Richtlinien.
 Die Eigenschaft wird auf TRUE ausgewertet, wenn eine Datei \texttt{fsverity} aktiviert ist und eine gültige eingebaute Signatur hat,
 deren Signierzertifikat sich im .fs-verity-Schlüsselbund befindet.\\
 Wenn Sie unsicher sind, antworten Sie mit Y.
 \english{This option enables the `fsverity\_signature' property within IPE policies.
 The property evaluates to TRUE when a file is fsverity enabled and it has a valid builtin signature whose signing cert is in the .fs-verity keyring.\\
 if unsure, answer Y.}
 %17.25
 \subsection{Integrity subsystem}
 CONFIG\_INTEGRITY [=y] \textbf{[Y]}\\
 Mit dieser Option wird das Integritäts-Subsystem aktiviert, das aus einer Reihe verschiedener Komponenten besteht, darunter die Integritätsmessarchitektur (IMA),
 das erweiterte Verifizierungsmodul (EVM), die IMA-Bewertungserweiterung, die Erweiterung für die Verifizierung digitaler Signaturen
 und die Unterstützung von Audit-Messprotokollen.\\
 Jede dieser Komponenten kann separat aktiviert/deaktiviert werden. Weitere Einzelheiten finden Sie bei den einzelnen Komponenten.
 \english{This option enables the integrity subsystem, which is comprised of a number of different components including the Integrity Measurement Architecture (IMA),
 Extended Verification Module (EVM), IMA-appraisal extension, digital signature verification extension and audit measurement log support.\\
 Each of these components can be enabled/disabled separately. Refer to the individual components for additional details.}