Bei dem neuen Verfahren von AIX Trusted Installation wird die Digitale Signatur eines Filesets zusammen mit der Information welcher Public-Key zur Verifizierung zu verwenden ist in einen Block, den Digital Signature Block (DSB), am Ende der Fileset-Datei gepackt. Da die Signatur damit schon im Fileset selbst enthalten ist, wird auch kein Eintrag mehr im DSC benötigt. Damit können auch bisher völlig unbekannte Filesets und Fileset-Updates installiert werden, solange das AIX System die Signatur des Fileset erfolgreich überprüfen kann und dem dafür nötigen Public-Key vertraut wird.

Der prinzipielle Aufbau eines DSB sieht wie folgt aus:

$ od -xa dsb
0000000     494e    5554    5545    5945    0000    0400    0000    0000
           I   N   U   T   U   E   Y   E nul nul eot nul nul nul nul nul
0000020     0000    0100    0000    0100    0000    0200    0000    0100
         nul nul soh nul nul nul soh nul nul nul stx nul nul nul soh nul
0000040     0000    0002    0000    0000    0000    0000    0000    0000
         nul nul nul stx nul nul nul nul nul nul nul nul nul nul nul nul
0000060     0000    0000    0000    0000    0000    0000    0000    0000
         nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul
*
0000400     5349    474e    4154    5552    450a    0000    0000    0000
           S   I   G   N   A   T   U   R   E  lf nul nul nul nul nul nul
0000420     0000    0000    0000    0000    0000    0000    0000    0000
         nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul
*
0001000     5055    424c    4943    2d4b    4559    0000    0000    0000
           P   U   B   L   I   C   -   K   E   Y nul nul nul nul nul nul
0001020     0000    0000    0000    0000    0000    0000    0000    0000
         nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul
*
0001760     0000    0000    0000    0400    494e    5554    5545    5945
         nul nul nul nul nul nul eot nul   I   N   U   T   U   E   Y   E
0002000
$

Hinweis: Dieser DSB soll nur den schematischen Aufbau zeigen, er ist so nicht funktionsfähig.

Der Anfang eines DSB startet mit der Zeichenkette „INUTUEYE„, dem sogenannten DSB Eye Catcher. Trusted Installation kann anhand dieser Markierung den Beginn eines DSB in einem Fileset erkennen. Im danach folgenden Teil (in orange markiert), kommt die binäre digitale Signatur des Filesets. Stellvertretend für die Signatur steht in der Beispiel-Ausgabe die Zeichenkette „SIGNATURE„. Darauf folgt (in grün markiert) der absolute Pfad zu einem Public-Key der für die Überprüfung zu verwenden ist. Stellvertretend für den Pfad zum Public-Key ist im Beispiel die Zeichenkette „PUBLIC-KEY“ zu sehen. Der Public-Key muss zum Private-Key gehören, mit dem die Signatur erzeugt wurde und er muss im Verzeichnis /etc/security/certificates stehen. Der DSB wird dann durch eine weitere Markierung mit dem DSB Eye Catcher „INUTUEYE“ abgeschlossen.

Ein DSB kann mit dem Kommando dsblkgen erzeugt werden (Digitale Signatur für ein eigenes Fileset (DSB)).