Bug 39191

Summary: ima-evm-integrity-check: срок жизни ключа 60 дней
Product: Sisyphus Reporter: mikhailnov <m>
Component: ima-evm-integrity-checkAssignee: manowar <manowar>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: manowar, nbr
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description mikhailnov 2020-11-05 15:14:11 MSK 
В ima-evm-integrity-check вызывается
openssl req -days 60
Это похоже на копипасту из интернета, там 60 дней ставится почему-то, но ведь это же срок жизни ключа, предполагается, что через 60 дней уже не понадобится им подписывать систему? Приватный ключ в tmpfs хранится, если не предполагается его переиспользовать, срок 60 дней выглядит излишним, а если предполагается переиспользовать - недостаточным.
Comment 1 manowar@altlinux.org 2025-06-17 22:02:40 MSK 
# openssl x509 -in /etc/keys/x509_ima.der -text -noout
...
Validity
            Not Before: Jun 17 17:35:18 2025 GMT
            Not After : Aug 16 17:35:18 2025 GMT
...

Насколько я понимаю, это не ключ, а сам сертификат.
Comment 2 manowar@altlinux.org 2025-06-17 22:24:23 MSK 
Проблема ещё в том, что если просто убрать -days 60, то будет 30. =)
Сколько мы на самом деле хотим? Мне кажется, что должно быть бессрочно.
Comment 3 nbr 2025-06-18 12:45:12 MSK 
приватный ключ уничтожается после подписывания; срок его жизни неважен; система сейчас проверяет подписанность файлов публичным ключом.
Comment 4 manowar@altlinux.org 2025-06-18 13:07:53 MSK 
А где располагается этот публичный ключ?
Comment 5 nbr 2025-06-18 13:49:33 MSK 
в initrd в /etc/keys
там же лежит сертификат.
целостность самого initrd должна проверяться другими методами
Comment 6 manowar@altlinux.org 2025-06-18 15:39:38 MSK 
Мы как раз и обсуждаем тут сертификат, который лежит в /etc/keys в initrd. Срок его действия -- 60 дней. По-моему, это ничем не оправдано.
Comment 7 manowar@altlinux.org 2025-06-18 18:19:29 MSK 
На проверку оказалось, что просроченные сертификаты продолжают нормально работать:

[root@imatest ~]# openssl x509 -in /etc/keys/x509_ima.der -inform DER | openssl verify
O = IMAALT, CN = Executable Signing Key
error 18 at 0 depth lookup: self signed certificate
O = IMAALT, CN = Executable Signing Key
error 10 at 0 depth lookup: certificate has expired
error stdin: verification failed

[root@imatest ~]# 
[root@imatest ~]# evmctl ima_verify --key=/etc/keys/x509_ima.der /bin/bash4
key 1: 71b72798 /etc/keys/x509_ima.der
/bin/bash4: verification is OK

Вот не знаю, хорошо это или плохо. Однако ясно, что при таком поведении ограничение в 60 дней не имеет значения.