機械翻訳について

セキュリティ

UEK R7には、次のセキュリティ機能が導入されています:

新しい.machineカーネル・キーリングが導入されました

.machineカーネル・キーリングは、UEK R7で導入されています。 このキーリングは、非対称キーを使用するすべての操作でカーネル・レベルの信頼アンカーとして使用できます。 .machineキーリングは、.builtin_trusted_keysおよび.secondary_trusted_keysキーリングと同じレベルの信頼性をカーネル内で持っています。 組込みキーおよびセカンダリ・キーリングと同様に、.machineキーリングのキーを使用して次のことを実行できます:

  • カーネル・モジュールのシグネチャ検証を実行します。

  • .secondary_trusted_keysキーリングにキーを追加します。

  • IMA評価キーのCAとして機能します。

.machineキーリングに含まれるキーは、ルートCA証明書である必要があります。 ルートCA証明書として修飾するには、次の2つの要件を満たす必要があります:

  • X.509証明書は自己署名されます。

  • X.509証明書には、basicConstraints=critical,CA:TRUEを含むX509v3拡張が含まれている必要があります

また、keyUsageフィールドはkeyCertSignで設定することをお薦めします。

以前のUEKリリースとは異なり、UEK R7の.platformキーリングに含まれるキーは、kexecにのみ使用できます。 また、.platformキーを他の目的で使用することはできません。一方、以前のUEKリリースでは、カーネル・モジュールのシグネチャ検証に.platformキーリングを使用できますが、他のカーネル・キー操作には使用できません。

.machineキーリングにキーを追加する最も簡単な方法は、mokutilユーティリティを使用してキーを登録することです。 このメソッドでは、最初にX.509キー・ペアを作成する必要があります。

IntelアーキテクチャでSGXが有効

Unbreakable Enterprise Kernelリリース7では、第3世代のIntel Xeon Scalableプロセッサ(codename Ice Lake)で、Intel Software Guard Extensions (SGX)テクノロジが有効になります。

アプリケーションは、このハードウェア機能を使用して、ユーザー・コードとデータの保護リージョン(enclaves)を移入できます。 アクティブにすると、新しいハードウェアはコードとデータを外部のアクセスと変更から保護します。 エンクレーブは、シークレットを格納し、DRMソフトウェアなどのそれらのシークレットでデータを処理する場所を提供します。 SGXは、多くの既知のサイバー・セキュリティの脅威に対する保護を提供するのに役立つため、セキュア・エンクレーブを使用してサーバーの攻撃対象領域を減らし、より高い権限で実行されているプロセスから情報を保護します。