Fedora 37: si pensa all'introduzione dei pacchetti RPM firmati

La versione stabile di Fedora 36 non è ancora stata rilasciata ma gli sviluppatori della distribuzione stanno già pensando alle novità da implementare in Fedora 37. Ad esempio di recente vi abbiamo parlato della discussione interna al team di Fedora inerente all'ipotesi di deprecare completamente il supporto ai legacy BIOS e rendere UEFI un requisito obbligatorio per installare il sistema sulla piattaforma hardware x86_64. Inoltre per Fedora 37 è previsto anche un miglioreranno notevolmente del supporto per le board ARM ed in particolare per i cosi detti zero touch onboarding/edge device. In questi giorni i coder stanno invece discutendo sulla possibilità di implementare un sistema di firma dei pacchetti software in formato RPM (Red Hat Package Manager), uno dei tanti standard usanti dalle distribuzioni Linux.

L'idea di aggiungere una firma digitale ai contenuti eseguiti tramite gli installer RPM non è un idea completamente nuova e ad esempio tale sistema di sicurezza viene già oggi utilizzato largamente sui eseguibili per Windows e MacOS. In buona sostanza si tratta di una procedura di sicurezza che prevede l'introduzione di una "firma", dall'autore del programma o del mantainer ufficiale, all'interno del codice da eseguire cosi da validare l'affidabilità.

Tale firma tecnicamente viene rappresentata da una IMA-based signature da utilizzare come punto di rifermento per dare vita ad una serie di runtime policy di sicurezza che consentano esclusivamente l'esecuzione di codice verificato. La chiave crittografica utilizzata per firmare i pacchetti dovrà ovviamente essere gestita e mantenuta dal team di Fedora, cosi da assicurare che tutto il processo di validazione risulti affidabile.

Ovviamente tale feature non impedirà, in modo simile a quanto avviene anche sui sistemi operati alternativi, agli utenti di installare applicativi non firmati. Le IMA-based signature avranno infatti come target principale i sistemi aziendali ed il mondo enterprise. In tali contesti infatti risulta essenziale assicurare che all'interno della distribuzione venga eseguito ed operai unicamente software certificato.