[tc] descrizione Enforcer

Salvatore Caratozzolo s.caratozzolo2 a campus.unimib.it
Ven 30 Nov 2007 11:27:49 CET 

hola vi voglio spiegare come funziona Enforcer fino dove 
sono arrivato io oggi!magari vi puo' essere utile!

1-permette di proteggere la modifica di file semplicemente 
aggiungendo il loro path nel db enforcer.db.entries!
un suo esempio:
action=log,deny, tpm-lock /home/salvo/test_enf.txt

questa linea permette di tenere sotto controllo quello che 
succede ogni volta che apro il file e lo modifico 
(action=log)!

impedisce l'accesso al file una volta che è stato 
modificato (deny) ed estende tutti i PCR una volta che se 
n'è accorto(tpm-lock)!

quindi se aggiungo il file a questo db allora non dovro' 
più modificarlo!altrimenti non sarà più leggibile a meno 
che non entri in azione l'amministratore!

2-permette anche di aprire un file solo con un programma 
indicato da me! basta inserire una linea nel db chiamato 
binding.db dove si indicano il path assoluto del programma 
e del file!

3-permette di montare un loopback filesystem all'avvio, 
questo fs pero' è cifrato con una chiave AES su cui viene 
eseguito il sEAL con i PCR che si vogliono usare! la 
chiave AES "sealizzata" prende nome di tcpa.blob e si 
trova nella dir di Enforcer.
se al successivo avvio i PCR si trovano allo stesso stato 
allora la chiave AES sarà disponibile e sarà possibile 
decifrare il LB FS e montarlo!
se invece solo uno dei PCR indicati come "guardia" è 
diverso allora non monta nulla, lasciando i file salvati 
in esso non raggiungibili!
se solo uno dei file salvato nel enfocer.db.entries viene 
modificato allora il fs verrà automaticamente smontato!

questi 3 punti li ho testati tutti e funzionano 
correttamente! tranne il 3...non smonta il fs appena si 
accorge che i files sono stati modificati!

da quanto ho capito Enforcer controlla ogni i-node dei 
file aperti e se questi è uno dei files dei suo database 
allora entra in azione!

ogni db viene firmato ed ha un suo digest e vengono 
controllati ad ogni avvio, credo che vengano controllati 
anche i stessi files di Enforcer!ma dovrei testarlo...
cmq se anche uno di questi è stato modificato allora non è 
+ possibile usare enforcer!e per assicurare maggior 
sicurezza estende i PCR con spazzatura!

bon per ora questo è tutto!
se avete domande meglio! saranno + domande che magari 
troveranno risposta durante la discussione della tesi! ;)

Maggiori informazioni sulla lista tc