With the new AIX Trusted Installation procedure, the digital signature of a fileset, along with information about which public key to use for verification, is packed into a block, the Digital Signature Block (DSB), at the end of the fileset file. Since the signature is already contained in the fileset itself, an entry in the DSC is no longer required. This allows even previously unknown filesets and fileset updates to be installed, as long as the AIX system can successfully verify the fileset signature and the required public key is trusted.

The basic structure of a DSB is as follows:

$ od -xa dsb
0000000     494e    5554    5545    5945    0000    0400    0000    0000
           I   N   U   T   U   E   Y   E nul nul eot nul nul nul nul nul
0000020     0000    0100    0000    0100    0000    0200    0000    0100
         nul nul soh nul nul nul soh nul nul nul stx nul nul nul soh nul
0000040     0000    0002    0000    0000    0000    0000    0000    0000
         nul nul nul stx nul nul nul nul nul nul nul nul nul nul nul nul
0000060     0000    0000    0000    0000    0000    0000    0000    0000
         nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul
*
0000400     5349    474e    4154    5552    450a    0000    0000    0000
           S   I   G   N   A   T   U   R   E  lf nul nul nul nul nul nul
0000420     0000    0000    0000    0000    0000    0000    0000    0000
         nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul
*
0001000     5055    424c    4943    2d4b    4559    0000    0000    0000
           P   U   B   L   I   C   -   K   E   Y nul nul nul nul nul nul
0001020     0000    0000    0000    0000    0000    0000    0000    0000
         nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul nul
*
0001760     0000    0000    0000    0400    494e    5554    5545    5945
         nul nul nul nul nul nul eot nul   I   N   U   T   U   E   Y   E
0002000
$

Note: This DSB is intended only to show the schematic structure; it is not functional in this form.

The beginning of a DSB starts with the string “INUTUEYE“, the so-called DSB eye catcher. Trusted Installation can use this marker to identify the beginning of a DSB in a fileset. The following section (marked in orange) contains the fileset’s binary digital signature. The signature is represented in the example output by the string “SIGNATURE“. This is followed (marked in green) by the absolute path to a public key to be used for verification. The path to the public key is represented in the example by the string “PUBLIC-KEY“. The public key must belong to the private key used to create the signature and must be located in the /etc/security/certificates directory. The DSB is then concluded with another marker containing the DSB eye catcher “INUTUEYE“.

A DSB can be created with the command dsblkgen (Digital signature for a self created file set (DSB))