汇报人:张天行
申请在openEuler 20.09引入华为自研的IMA Digest List特性,该特性由华为慕尼黑可信技术实验室与EulerOS合作开发,在业界属于首创,其目的是解决内核原生IMA完整性保护框架的易用性和性能问题,从而推动可信计算在生产环境下的落地。
传统安全机制如入侵检测和杀毒软件都基于黑名单机制,有很大局限性。IMA采用的则是白名单,只允许经过认证的程序在系统上运行,在运行一个程序前,除了要经过传统的操作系统权限判断,系统还要将其与一个可信的参考值对比,如果发现程序发生了更改(或者原本就是未知程序),就拒绝对程序的访问。
但现有的内核IMA机制易用性和性能较差,并未得到广泛使用,IMA Digest List从安全、易用性、性能三个维度对原生IMA机制进行了增强,使其能符合在生产环境下使用的要求。
我们计划近期将该特性推往内核社区,但该特性改动较大,牵涉面广,希望openEuler社区能够率先采纳,这样我们可以通过20.09版本的镜像向内核社区介绍该特性,以提高特性被内核社区接受的可能性。
参考链接:github.com/euleros/digest-list-tools
| | 溯洄 | | 邮箱:benjamin93@163.com |
签名由 网易邮箱大师 定制
openEuler 当前已经集成了digest-list-tools
https://gitee.com/src-openeuler/digest-list-tools
您具体希望做什么?
From: nettingsisyphus [mailto:benjamin93@163.com] Sent: Thursday, June 18, 2020 8:29 PM To: tc tc@openeuler.org Cc: zhangtianxing zhangtianxing3@huawei.com Subject: [Tc] 【TC议题申请】关于openEuler支持IMA摘要列表特性的提议
汇报人:张天行
申请在openEuler 20.09引入华为自研的IMA Digest List特性,该特性由华为慕尼黑可信技术实验室与EulerOS合作开发,在业界属于首创,其目的是解决内核原生IMA完整性保护框架的易用性和性能问题,从而推动可信计算在生产环境下的落地。
传统安全机制如入侵检测和杀毒软件都基于黑名单机制,有很大局限性。IMA采用的则是白名单,只允许经过认证的程序在系统上运行,在运行一个程序前,除了要经过传统的操作系统权限判断,系统还要将其与一个可信的参考值对比,如果发现程序发生了更改(或者原本就是未知程序),就拒绝对程序的访问。
但现有的内核IMA机制易用性和性能较差,并未得到广泛使用,IMA Digest List从安全、易用性、性能三个维度对原生IMA机制进行了增强,使其能符合在生产环境下使用的要求。
我们计划近期将该特性推往内核社区,但该特性改动较大,牵涉面广,希望openEuler社区能够率先采纳,这样我们可以通过20.09版本的镜像向内核社区介绍该特性,以提高特性被内核社区接受的可能性。
参考链接:github.com/euleros/digest-list-tools
[https://mail-online.nosdn.127.net/cf8ab018ff41fe65d63799feef0c7437.jpg]
溯洄
邮箱:benjamin93@163.commailto:benjamin93@163.com
签名由 网易邮箱大师https://mail.163.com/dashi/dlpro.html?from=mail88 定制
-
Huxinwei -
nettingsisyphus