Ab AIX 7.3 TL1 gibt es ein neues Verfahren für AIX Trusted Installation, welches das Verfahren mit dem Digital Signature Catalog (DSC) ablöst. Beim neuen Verfahren wird die digitale Signatur eines Filesets direkt an das Ende der Fileset-Datei in Form eines Digital Signature Blocks (DSB) angefügt. Dies vereinfacht Trusted Installation enorm, da die Signatur nicht mehr im DSC hinterlegt werden muss.
Der DSB enthält neben der digitalen Signatur auch den Pfad zu einem Public-Key der zur Überprüfung verwendet werden muss, siehe Der Digital Signature Block. Beginn und Ende des Blocks sind mit der Zeichenkette „INUTUEYE„, dem sogenannten DSB Eye Catcher, markiert. Damit kann der Installationsprozeß das Vorhandensein eines DSB am Ende einer Fileset-Datei erkennen.
Der Ablauf bei der Verifizierung einer digitalen Signatur für ein Fileset ist im Detail hier beschrieben: Verifizieren der digitalen Signatur eines Filesets (DSB). Im wesentlichen wird dafür das neue Kommando dsblkchk verwendet, welches die eigentliche Überprüfung übernimmt.
Besitzt ein Fileset keinen DSB, dann wird das alte Verfahren mit DSC verwendet.
Das neue Verfahren erlaubt es auch mit sehr wenig Aufwand eigene Filesets zu signieren. Eine genaue Beschreibung der notwendigen Schritte findet sich hier: Digitale Signatur für ein eigenes Fileset (DSB) .
Hinweis: Leider ist das Verfahren bisher noch nicht gut von IBM dokumentiert. Es gibt eine Manual-Page für das Kommando dsblkgen (Erzeugen eines DSB) und das Shell-Skript dsblkchk dessen Code man sich anschauen kann. Alle weiteren Erkenntnisse haben wir mit Hilfe von truss gewonnen.