linux: 署名付きカーネルモジュールの署名の付き方 - φ(・・*)ゞｳｰﾝ　カーネルとか弄ったりのメモ

Fedora等、モジュールを署名しているディストリビューションの場合、カーネルモジュールのELFバイナリの最後に署名がついています。これがとんな感じなの？いうところはkernelのDocumentation/module-signing.txtに書かれています。/proc/keysで鍵の確認とかはrootじゃないとできません。テストした環境はFedora 22（x86_64）です。

/proc/keysをrootで開くとこんなふうになってます。

root@saga:/proc# cat /proc/keys
02c9848e I------     1 perm 1f030000     0     0 keyring   .persistent_register: 1
039b4a4a I--Q---     3 perm 1f3f0000     0 65534 keyring   _uid.0: empty
096cc3a2 I------     1 perm 1f030000     0     0 keyring   .system_blacklist_keyring: empty
13630bc6 I------     1 perm 1f030000     0     0 asymmetri Fedora kernel signing key: 5df3cf03be233f1af50438d0fce94781004fd41d: X509.RSA 004fd41d []
22310e67 I------     1 perm 1f0b0000     0     0 keyring   .system_keyring: 1
37ff8e04 I--Q---     6 perm 3f030000     0     0 keyring   _ses: 1
3cbed499 I--Q---     1 perm 1f3f0000     0 65534 keyring   _uid_ses.0: 1

これらファイルのうち.system_keyringがカーネルに埋め込まれている公開鍵とのことです。

そして、.system_keyringの行の一番左側のカラムにある数値（ここでは22310e67）を使って情報を見れます。

root@saga:/proc# keyctl list 0x22310e67
1 key in keyring:
325258182: ---lswrv     0     0 asymmetric: Fedora kernel signing key: 5df3cf03be233f1af50438d0fce94781004fd41d

そしたら、カーネルモジュールを見てます。署名はELFのセクションではなくて、単にELFバイナリの最後にくっついています。hexdumpで見てみると最後のほうはこうなっています。

0000d4b0  39 01 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |9...............|
0000d4c0  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
0000d4d0  46 65 64 6f 72 61 20 6b  65 72 6e 65 6c 20 73 69  |Fedora kernel si|
0000d4e0  67 6e 69 6e 67 20 6b 65  79 5d f3 cf 03 be 23 3f  |gning key]....#?|
0000d4f0  1a f5 04 38 d0 fc e9 47  81 00 4f d4 1d 02 00 7f  |...8...G..O.....|
0000d500  3b 03 3a 63 a8 cb bc f5  fd 02 02 5a 43 fd 48 69  |;.:c.......ZC.Hi|
0000d510  fe 1e 58 a0 9b 88 1d 24  f6 91 d1 14 f7 83 69 a7  |..X....$......i.|
0000d520  36 3c ac d0 90 6e e0 ed  c7 9d 7a e4 ff 2e c0 14  |6<...n....z.....|
0000d530  da 62 cc f8 d4 37 cf e5  f0 c5 ec 8b bf 8c a9 f3  |.b...7..........|
0000d540  38 bf 12 35 2b e8 30 8e  87 34 f3 f1 52 f8 55 0b  |8..5+.0..4..R.U.|
0000d550  46 74 37 1c da 4b 7d 79  47 a0 25 08 85 53 6d e6  |Ft7..K}yG.%..Sm.|
0000d560  de 4e 46 8d f8 5e 79 b5  64 fa 10 33 7f 87 29 34  |.NF..^y.d..3..)4|
0000d570  f5 92 4a 99 76 12 aa be  76 d0 09 85 72 91 37 4f  |..J.v...v...r.7O|
0000d580  0a ba 2a 56 cc 63 df a8  cb ff 8a 82 e7 f4 8a 8e  |..*V.c..........|
0000d590  b2 de e6 50 49 22 13 da  12 b0 42 ef 6a a6 12 b5  |...PI"....B.j...|
0000d5a0  8a 9b 7f e4 92 6e 3b 52  db 49 e5 30 e9 cf ed e9  |.....n;R.I.0....|
0000d5b0  c8 3a 84 6d a8 cb 53 fd  8e 11 8f 31 2b 15 18 3e  |.:.m..S....1+..>|
0000d5c0  14 53 a1 45 5f ce af ab  1d 7f e8 9d 93 66 5b ed  |.S.E_........f[.|
0000d5d0  df f5 42 da f3 e0 03 ec  8d 40 c4 f6 9a 3d 90 32  |..B......@...=.2|
0000d5e0  c1 02 06 f6 8d 54 c7 9c  27 e4 86 29 e5 37 72 01  |.....T..'..).7r.|
0000d5f0  9a 3b a6 3c df b8 15 47  13 a9 bd 9c f0 a5 ac 09  |.;.<...G........|
0000d600  bd 35 b0 43 a7 c7 64 76  e5 06 27 ea 96 c5 0d 1d  |.5.C..dv..'.....|
0000d610  2c ae 7a e0 27 3a 3e 24  b9 b9 ec eb 6f a1 05 ce  |,.z.':>$....o...|
0000d620  51 d4 af 45 7e 37 07 69  3c 1f 81 6f bf 06 aa 58  |Q..E~7.i<..o...X|
0000d630  24 92 24 cb c2 1d a6 88  be 0f bc 79 02 63 9d 9f  |$.$........y.c..|
0000d640  15 b7 65 fc f6 d3 93 d0  cd 68 4a 71 67 eb 9d 35  |..e......hJqg..5|
0000d650  ca b0 83 85 19 7b 95 b5  27 e1 16 57 d7 1b 93 d7  |.....{..'..W....|
0000d660  3f 34 04 0b d8 47 5b 6e  6a a9 a1 4c 9f 35 f4 e3  |?4...G[nj..L.5..|
0000d670  10 86 8a f4 8d 13 0d a7  41 0e 3e c4 ba 4b c2 b1  |........A.>..K..|
0000d680  e7 82 0c 1a b8 ba 1a 06  90 de 90 02 c2 8a ea 5a  |...............Z|
0000d690  63 48 6a f1 58 26 90 0a  84 5f 76 f6 e4 84 90 8e  |cHj.X&..._v.....|
0000d6a0  71 af 68 c5 44 63 3f 43  f8 f4 b2 6a 51 b5 74 5b  |q.h.Dc?C...jQ.t[|
0000d6b0  2f 3c c2 93 de 1a 4a d3  66 ec 25 be 51 59 35 0a  |/<....J.f.%.QY5.|
0000d6c0  fc bf 10 10 af 49 c4 26  0e 7a 79 09 de 0f 14 64  |.....I.&.zy....d|
0000d6d0  07 e6 a7 ae 74 67 09 98  b2 7b a5 1e db 75 ed 85  |....tg...{...u..|
0000d6e0  f6 9f 7e b5 27 f7 70 f2  99 36 ab c6 3f af 8e a2  |..~.'.p..6..?...|
0000d6f0  62 cb 16 0c ca 67 0b 72  46 7c ae 1d dc d0 2d 01  |b....g.rF|....-.|
0000d700  04 01 19 14 00 00 00 00  00 02 02 7e 4d 6f 64 75  |...........~Modu|
0000d710  6c 65 20 73 69 67 6e 61  74 75 72 65 20 61 70 70  |le signature app|
0000d720  65 6e 64 65 64 7e 0a                              |ended~.|
0000d727

バイナリの最後のところに~Module signature appended~とあり、これが署名の最後を表しているマーカーです。アドレス0x0000d4d0からはFedora kernel signing keyが見えていて、ここがFedoraのカーネルビルド時につけた署名の先頭部分です。この範囲はELFのセクションでも何でもないところです。stripコマンドにかけると消えます。

ついでなので、このマーカーに挟まれた部分をシェルスクリプトで取り出してみようかなと思った結果が下です。c言語でやれば簡単なのは分かっているので、なんとなくシェルでやってみたと。シェルスクリプトでバイナリを触るのはod(1)さえあればなんとかなるものですね。出力結果を加工するのにsedを使ってたりしますが（空白削るだけならtrでも良いけど）。。。

やってる内容としては、ファイルの最後の部分が~Module signature appended~になっているか調べて、マーカーが見つかったらその文字列が始まっているアドレスを16の倍数に切り下げて$(((${marker_start_offset} >> 4) << 4))16バイトごとに前に戻りつつFedora〜の場所を探してます。0xfffffff0でマスクしても良いんだけど、32/64bitの違いを気にするのも面倒だし、右シフトと左シフトでやったほうが楽かなーと。

#!/bin/bash

if [ $# -ne 1 ]; then
        echo "Usage $0 [kernel module]"
        exit 1
fi

kmodfile=$1
filesize=`stat -c %s ${kmodfile}`

printf "file size is 0x%x\n" ${filesize}

module_sign_marker="~Module signature appended~"
module_sign_marker_len=`echo ${#module_sign_marker}`

module_sign_fedora_key_marker="Fedora kernel signing key"
module_sign_fedora_key_marker_stripped=`echo ${module_sign_fedora_key_marker} | sed 's/ //g'`
module_sign_fedora_key_marker_len=${#module_sign_fedora_key_marker}

printf "fedora len: 0x%x\n" $module_sign_fedora_key_marker_len

function modsign_check_key() {
        strings ${kmodfile} | grep "${module_sign_marker}" 2>&1 >/dev/null
        if [ $? -ne 0 ]; then
                echo "Module not signed"
                return 1
        fi

        marker_start_offset=$((${filesize} - ${module_sign_marker_len}))
        printf "marker_start_offset is 0x%x\n" ${marker_start_offset}

        check_start_offset=$(((${marker_start_offset} >> 4) << 4))
        printf "check_start_offset is 0x%x\n" ${check_start_offset}

        fedora_key_start_addr=0
        for ((fedora_key_start_addr=${check_start_offset}; fedora_key_start_addr >= 0; fedora_key_start_addr-=16));
        do
                s=`od --width=64 -An  -tc -j ${fedora_key_start_addr} -N ${module_sign_fedora_key_marker_len} ${kmodfile} | sed 's/\\n//g' | sed 's/ //g'`

                if [ "${s}" = "${module_sign_fedora_key_marker_stripped}" ]; then
                        echo "found"
                        break
                fi
        done

        printf "fedora_key_start_addr is 0x%x\n" ${fedora_key_start_addr}
        key_start_addr=$((${fedora_key_start_addr} + ${module_sign_fedora_key_marker_len}))
        printf "key_start_addr is 0x%x\n" ${key_start_addr}
        key_size=$((${marker_start_offset} - ${key_start_addr}));
        printf "key_size is 0x%x\n" ${key_size}

    od --width=1024 -An -txC -j ${key_start_addr} -N ${key_size} ${kmodfile} | sed 's/ //g'
}


modsign_check_key

できるPRO Red Hat Enterprise Linux 7 (できるPROシリーズ)

作者: 平初,できるシリーズ編集部
出版社/メーカー: インプレス
発売日: 2015/06/25
メディア: 単行本（ソフトカバー）
この商品を含むブログを見る