Under Construction

Arbeiten mit AIX -> AIX-Sicherheit > Trusted Execution (TE) > Vor der Aktivierung von Trusted Execution > Sind die verwendeten Zertifikate echt?

Echtheit der TE Zertifikate mit Paket Metadaten überprüfen

Die Zertifikate für Trusted Execution sind als Teil der Paket Metadaten unterhalb von /usr/lpp auf jedem System gespeichert. Ist man absolut sicher, dass es keine Modifikationen durch Angreifer gab, kann man die von TE verwendeten Zertifikate unter /etc/security/certificates gegen die Zertifikate aus den Paket Metadaten vergleichen. Diese findet man unter /usr/lpp/bos/inst_root/etc/security/certificates:

# ls -l /usr/lpp/bos/inst_root/etc/security/certificates              
total 96
-rw-r-----    1 root     security       1009 Jul  7 2021  AIX_PSIRT_cert
-rw-r-----    1 root     security        451 Jul  7 2021  AIX_PSIRT_pubkey.txt
-rw-r-----    1 root     security        571 Jul 25 2020  certificate_61
-rw-r-----    1 root     security        571 Jul 25 2020  certificate_610
-rw-r-----    1 root     security        571 Jul 25 2020  certificate_71
-rw-r-----    1 root     security        846 Jul 25 2020  certificate_72
-rw-r-----    1 root     security        846 Mar 24 2021  certificate_73
-rw-r-----    1 root     security        272 May 16 2022  pubkey_71.pem
-rw-r-----    1 root     security        451 May 16 2022  pubkey_72.pem
-rw-r-----    1 root     security        451 May 16 2022  pubkey_73.pem
-rw-r-----    1 root     security        451 May 16 2022  pubkey_rsct_3.2.pem
-rw-r-----    1 root     security        451 May 16 2022  pubkey_rsct_3.3.pem
drwxr-x---    2 root     security        256 Oct 27 2022  tnc
#

Die Zertifikate können dann z.B. mittels cksum oder md5sum miteinander verglichen werden:

# cksum /etc/security/certificates/certificate_73 /usr/lpp/bos/inst_root/etc/security/certificates/certificate_73
3780280701 846 /etc/security/certificates/certificate_73
3780280701 846 /usr/lpp/bos/inst_root/etc/security/certificates/certificate_73
#

Alternativ, um ganz sicher zu gehen, kann man auch diff verwenden:

# diff /etc/security/certificates/certificate_73 /usr/lpp/bos/inst_root/etc/security/certificates/certificate_73
#

Das unter /etc/security/certificates/certificate_73 verwendete Zertifikat ist identisch mit dem gleichnamigen Zertifikat aus den Paket Metadaten.

Sind die Paket Metadaten nicht kompromitiert, dann ist damit die Echtheit des IBM Zertifikats /etc/security/certificates/certificate_73 nachgewiesen.