我正在研究完整性测量架构并尝试在嵌入式设备上启用它。
我已启用 IMA 相关配置标志并编译了内核。现在我可以看到 xattrsecurity.ima并可以通过 设置哈希或签名evmctl。将密钥加载到_ima密钥环后,运行签名文件即可。乍一看还不错。
但是当我检查日志时,我可以在启动期间看到一条错误消息:
IMA:未找到 TPM 芯片,正在激活 TPM 旁路!
在这个问题中我没有解决为什么找不到 TPM 的问题,但我想知道这会有什么后果?
TPM-bypass 到底是什么意思呢?
我认为将会缺少一些功能,但我找不到任何关于 TPM 绕过的含义以及会受到什么影响的信息。
我遇到的一个问题是文件 /sys/kernel/security/ima/ascii_runtime_measurements 仅显示一行并且不会增长。
这与 TPM 绕过有关吗?我还应该期待什么?
答案1
据我所知,如果没有 TPM 芯片,IMA 是完全没用的,很可能 TPM 旁路只是包含在代码中,以便用户可以测试软件,但它不会提供任何真正的保护
也许你可以尝试使用 TPM 模拟器https://github.com/PeterHuewe/tpm-emulator如果你只是想测试