Файлы System/bin Android 12. Справочник.


  Все     Команда     Скрипт     Служба     Приложение  

fsverity_init
Поддержка встроенных подписей файлов

Тип файла: команда
  Eng  

Параметры:

  • --load-verified-keys - LoadKeyFromVerifiedPartitions(keyring_id)

  • --load-extra-key keyring_id - LoadKeyFromStdin(keyring_id)

  • --lock - требуется, чтобы файлы, поддерживаемые fs-verity, были проверены с помощью ключа в наборе ключей .fs-verity

       

    Комментарии
    https://gitlab.archlinux.org/archlinux/packaging/upstream/linux-rt/-/commit/432434c9f8e18cb4cf0fe05bc3eeceada0e10dc6

    Поддержка встроенных подписей файлов

    Чтобы удовлетворить потребности некоторых пользователей, добавьте дополнительную поддержку того, чтобы fs-verity обрабатывала часть политики аутентификации в ядре.
    Создается связка ключей «.fs-verity», к которой можно добавлять сертификаты X.509; затем можно установить sysctl 'fs.verity.require_signatures', чтобы ядро требовало, чтобы все файлы fs-verity содержали подпись измерения их файла с помощью ключа в этом наборе ключей.

    Полную документацию смотрите в разделе «Встроенная проверка подписи» документа Documentation/filesystems/fsverity.rst.



    Возможно, не относится к этой утилите:
    https://www.kernel.org/doc/html/next/filesystems/fsverity.html

    Защита подлинности на основе файлов только для чтения

    Введение

    fs-verity (fs/verity/) — это уровень поддержки, к которому могут подключаться файловые системы для обеспечения прозрачной целостности и защиты подлинности файлов, доступных только для чтения.
    В настоящее время он поддерживается файловыми системами ext4, f2fs и btrfs. Как и в случае с fscrypt, для поддержки fs-verity не требуется слишком много кода, специфичного для файловой системы.

    fs-verity похож на dm-verity, но работает с файлами, а не с блочными устройствами.
    Для обычных файлов в файловых системах, поддерживающих fs-verity, пользовательское пространство может выполнить ioctl, который заставляет файловую систему построить дерево Меркла для файла и сохранить его в определенном для файловой системы месте, связанном с файлом.

    После этого файл становится доступным только для чтения, и все операции чтения из файла автоматически проверяются по дереву Меркла файла.
    Чтение любых поврежденных данных, включая чтение mmap, завершится неудачей.

    Пользовательское пространство может использовать другой ioctl для получения корневого хэша (фактически «дайджеста файла fs-verity», который представляет собой хеш, включающий корневой хеш дерева Меркла), который fs-verity применяет для файла. Этот ioctl выполняется за постоянное время, независимо от размера файла.

    fs-verity — это, по сути, способ хэширования файла за постоянное время с учетом оговорки, что чтение, нарушающее хеш, завершится неудачей во время выполнения.