From mboxrd@z Thu Jan 1 00:00:00 1970 Received: from mail-pl1-f170.google.com (mail-pl1-f170.google.com [209.85.214.170]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) by smtp.subspace.kernel.org (Postfix) with ESMTPS id D8D1339D6DA for ; Fri, 10 Apr 2026 11:21:16 +0000 (UTC) Authentication-Results: smtp.subspace.kernel.org; arc=none smtp.client-ip=209.85.214.170 ARC-Seal:i=1; a=rsa-sha256; d=subspace.kernel.org; s=arc-20240116; t=1775820078; cv=none; b=aKioB+y19icLZGErhLR15U1zI/4HzyQaUJkf5hZtZKosGJmXFpnlrQgJw3IIyyp2HTDKdpfuRw52zi70JO8pdjtAMsg/XuKQbaZVXhs/VVS5DOhxB+3lYn3aK9V/TQmqIo0+Mc6+Q1UTwdpn8Vyl2XgbIeOsawJGD6sEJiqOKVo= ARC-Message-Signature:i=1; a=rsa-sha256; d=subspace.kernel.org; s=arc-20240116; t=1775820078; c=relaxed/simple; bh=xBbeUEH8UYQDlOmLksVNGJq3tRf2fBltRfHKNd+qaZ8=; h=Message-ID:Date:MIME-Version:Subject:To:Cc:References:From: In-Reply-To:Content-Type; b=LjaZVxlIb1Uem+w4tDnfubCD4DKGkQLMEVqbnyoE6uS7uPNhBRCwknJTyJqihqaTdbjhDdxBxZyFlS0wu2KPOFpnbR28oTtLifi0EpzPl3O+4hoFcqu6/dzOLlET9XgCHvWhP0QoNJHapnRiQClh2Y4Z05Pzu7oHpOB4M84COFI= ARC-Authentication-Results:i=1; smtp.subspace.kernel.org; dmarc=pass (p=none dis=none) header.from=gmail.com; spf=pass smtp.mailfrom=gmail.com; dkim=pass (2048-bit key) header.d=gmail.com header.i=@gmail.com header.b=IsqB2RIj; arc=none smtp.client-ip=209.85.214.170 Authentication-Results: smtp.subspace.kernel.org; dmarc=pass (p=none dis=none) header.from=gmail.com Authentication-Results: smtp.subspace.kernel.org; spf=pass smtp.mailfrom=gmail.com Authentication-Results: smtp.subspace.kernel.org; dkim=pass (2048-bit key) header.d=gmail.com header.i=@gmail.com header.b="IsqB2RIj" Received: by mail-pl1-f170.google.com with SMTP id d9443c01a7336-2b2469e5117so9934725ad.1 for ; Fri, 10 Apr 2026 04:21:16 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20251104; t=1775820076; x=1776424876; darn=vger.kernel.org; h=content-transfer-encoding:in-reply-to:from:content-language :references:cc:to:subject:user-agent:mime-version:date:message-id :from:to:cc:subject:date:message-id:reply-to; bh=bxXhnYlGcZzWougAzfAKBonamQ41+MF6aoHqVDHWVr4=; b=IsqB2RIjhkFsEf+U2zAqENcsRUq8wZfKysboyMfw1WOIK86Wg1OsARs4uhjTFejyM/ QQJBaWTC7vRlKjKsIlcpWO95BYSCyNOKE1ztGMZSk0+MSIuRi0XJjrm5jaBPjRco15Tc iRCv0WWVTYwuovxkcxfdNzkNGgNfxWnycGSrUw9bxPZbzpGAk5LGpYX2+8+wfg1kqmaf cA+ZbE8kvFSMj37sVUKKZ3Q25dSh9o4TAna4WD1nOocIyPVxFrhrENt6fx7G91fNDgwa 2OvFrrUHsUtH7ea6sIX7Copp8Gs+YqgTN/w7T2S0TGMytZqSFD6kLB6x+XgIxGOJZn6B AEfg== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20251104; t=1775820076; x=1776424876; h=content-transfer-encoding:in-reply-to:from:content-language :references:cc:to:subject:user-agent:mime-version:date:message-id :x-gm-gg:x-gm-message-state:from:to:cc:subject:date:message-id :reply-to; bh=bxXhnYlGcZzWougAzfAKBonamQ41+MF6aoHqVDHWVr4=; b=ayovmsBkqqJueuTpf23eMZquLjdgfOLIbSeF/LJLSPRZjk/55vP5u5WRoesyJl+49z 2X+hBGIZdJOS3nU5hDWt6xqkwYOJo7FB+q//Bod4UvlnSmzLWh1K6ObGba52mCUDMEuT hReyOFcQKlMPImjz94fjXUwyAXY4AfUej86yX8aMjwtYPhFx4wFd8HRid0BxQN2fDvyr 2I8KkCMAZzSd6vai5zWpyioB83hhb/JJUS7D+yHAYRL90kzj8Fxe2BXkx1vhA3WoiYT/ O4JmSU7vWuuvqZOrBlV5y+K8Qef+EIkj9HHwJGnO5xFsIG/MslLR5uIPpLtQy/jLjnd8 W1Ag== X-Forwarded-Encrypted: i=1; AJvYcCWta7enyiBFUfyMFS/g6Ls4t+IGTTikKqj1yR11W+EXZPhKeAP5W8W/8LzZKmSftOJfSjKED4jZHaA=@vger.kernel.org X-Gm-Message-State: AOJu0YwRf79xeS1gFoMV/IZCQYS8395B1IXU/3ScwSNPk3qV7/zNbHdw bbogr2t0A5pbk3IDmb7SDSK1dYCvgAT7VGZ00fQPQyz/8FEIICXNcQ85EcKBVEpxnfc= X-Gm-Gg: AeBDiesDlO2ByxhBu2srJeiqeAFcWAmxst+Q1IvNO95PcajwhsGQIqCRpI1bhliFsbL 177Aptme14AHAo68q4uypeaGUOq/Sm7580jkac7u6/bKd7KDiywAmX6jjYa8C2ZYfY1XTJxu0hP vulJNv08RqoteANJfqn0+aN31yQcVql2nfHJu7Zru/ATb7mLsWOFSa6Pfi3/j5xRviX1DbxYRS+ vwWIToePqTiG3OTOc8PBHLy+3UncR6JZHZL4DwgdZ8vadzn033+8/17/bcqy7aVvbKUijFv/dUh KdyToKbR1vLDbaB4sSyPBlrTSkJTS8Wqp8Em2dEpaIR4F0Ef5iLR3rlvJSNkGTWc+VkSruU+aH6 KpMLsuTCqZgYI1IwbLpYYbO5sw8knTsUTw1FoqE8WQArVfj1VtFi1d+L05JEB5nT3wgPKyyBojA wFsJQ0b6uFWPsmxzaV1vcGi3g0D3cw9g1zEFUmsoYhtjHNwwjWEoTCIwjHKLscHA== X-Received: by 2002:a17:903:2ed0:b0:2ae:5346:d4e6 with SMTP id d9443c01a7336-2b2c73a4423mr67825085ad.28.1775820075996; Fri, 10 Apr 2026 04:21:15 -0700 (PDT) Received: from ?IPV6:240e:38b:d99:bc01:ecae:8cfc:4adc:6bc? ([240e:38b:d99:bc01:ecae:8cfc:4adc:6bc]) by smtp.gmail.com with ESMTPSA id d9443c01a7336-2b2d4ddb462sm26522965ad.24.2026.04.10.04.21.12 (version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128); Fri, 10 Apr 2026 04:21:15 -0700 (PDT) Message-ID: Date: Fri, 10 Apr 2026 19:21:08 +0800 Precedence: bulk X-Mailing-List: linux-doc@vger.kernel.org List-Id: List-Subscribe: List-Unsubscribe: MIME-Version: 1.0 User-Agent: Mozilla Thunderbird Subject: Re: [PATCH] docs/zh_CN: add module-signing Chinese translation To: Yan Zhu , alexs@kernel.org, si.yanteng@linux.dev, corbet@lwn.net Cc: dzm91@hust.edu.cn, skhan@linuxfoundation.org, linux-doc@vger.kernel.org, linux-kernel@vger.kernel.org References: Content-Language: en-US From: Alex Shi In-Reply-To: Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit On 2026/4/1 23:40, Yan Zhu wrote: > Translate .../admin-guide/module-signing.rst into Chinese. > > Update the translation through commit 0ad9a71933e7 > ("modsign: Enable ML-DSA module signing") > > Signed-off-by: Yan Zhu > --- > .../zh_CN/admin-guide/module-signing.rst | 242 ++++++++++++++++++ > 1 file changed, 242 insertions(+) > create mode 100644 Documentation/translations/zh_CN/admin-guide/module-signing.rst > > diff --git a/Documentation/translations/zh_CN/admin-guide/module-signing.rst b/Documentation/translations/zh_CN/admin-guide/module-signing.rst > new file mode 100644 > index 000000000000..b8c209dd229d > --- /dev/null > +++ b/Documentation/translations/zh_CN/admin-guide/module-signing.rst > @@ -0,0 +1,242 @@ > +.. SPDX-License-Identifier: GPL-2.0 > +.. include:: ../disclaimer-zh_CN.rst > + > +:Original: Documentation/admin-guide/module-signing.rst > +:翻译: > + 朱岩 Yan Zhu > + > + > +========================== > +内核模块签名机制 > +========================== > + > +.. 目录 > +.. > +.. - 概述 > +.. - 配置模块签名 > +.. - 生成签名密钥 > +.. - 内核中的公钥 > +.. - 模块手动签名 > +.. - 已签名模块和剥离 > +.. - 加载已签名模块 > +.. - 无效签名和未签名模块 > +.. - 管理/保护私钥 > + > + > +概述 > +==== > + > +内核模块签名机制在安装过程中对模块进行加密签名,然后在加载模块时检查签名。 > +这通过禁止加载未签名的模块或使用无效密钥签名的模块来提高内核安全性。 > +模块签名通过使恶意模块更难加载到内核中来增加安全性。 > +模块签名检查在内核中完成,因此不需要受信任的用户空间位。 > + > +此机制使用 X.509 ITU-T 标准证书对涉及的公钥进行编码。 > +签名本身不以任何工业标准类型编码。 > +内置机制目前仅支持 RSA、NIST P-384 ECDSA 和 NIST FIPS-204 ML-DSA 公钥签名标准(尽管它是可插拔的并允许使用其他标准)。 This line is too long, and not align with other lines. you need to follow the coding style in documents. > +对于 RSA 和 ECDSA,可以使用的可能的哈希算法是大小为 256、384 和 512 的 SHA-2 和 SHA-3(算法由签名中的数据选择); > +ML-DSA会自行进行哈希运算,但允许与SHA512哈希算法结合用于签名属性。 > + > +配置模块签名 > +============ > + > +通过进入内核配置的 :menuselection:`Enable Loadable Module Support` 菜单并打开以下选项来启用模块签名机制:: > + > + CONFIG_MODULE_SIG "Module signature verification" > + > +这有多个可用选项: > + > + (1) :menuselection:`Require modules to be validly signed` > + (``CONFIG_MODULE_SIG_FORCE``) > + > + 这指定了内核应如何处理其密钥未知或未签名的模块。 > + > + 如果关闭(即"宽松模式"),则允许使用不可用密钥和未签名的模块, > + 但内核将被标记为受污染,并且相关模块将被标记为受污染,显示字符'E'。 > + > + 如果打开(即"限制模式"),只有具有有效签名且可由内核拥有的公钥验证的模块才会被加载。 > + 所有其他模块将生成错误。 > + > + 无论此处的设置如何,如果模块的签名块无法解析,它将被直接拒绝。 > + > + > + (2) :menuselection:`Automatically sign all modules` > + (``CONFIG_MODULE_SIG_ALL``) > + > + 如果打开此选项,则在构建的 modules_install 阶段期间将自动签名模块。 > + 如果关闭,则必须使用以下命令手动签名模块:: > + > + scripts/sign-file > + > + > + (3) :menuselection:`Which hash algorithm should modules be signed with?` > + > + 这提供了安装阶段将用于签名模块的哈希算法选择: > + > + =============================== ========================================== > + ``CONFIG_MODULE_SIG_SHA256`` :menuselection:`Sign modules with SHA-256` > + ``CONFIG_MODULE_SIG_SHA384`` :menuselection:`Sign modules with SHA-384` > + ``CONFIG_MODULE_SIG_SHA512`` :menuselection:`Sign modules with SHA-512` > + ``CONFIG_MODULE_SIG_SHA3_256`` :menuselection:`Sign modules with SHA3-256` > + ``CONFIG_MODULE_SIG_SHA3_384`` :menuselection:`Sign modules with SHA3-384` > + ``CONFIG_MODULE_SIG_SHA3_512`` :menuselection:`Sign modules with SHA3-512` > + =============================== ========================================== Got errors here: Applying: docs/zh_CN: add module-signing Chinese translation /home/alexshi/linuxdoc/.git/rebase-apply/patch:87: indent with spaces. =============================== ========================================== /home/alexshi/linuxdoc/.git/rebase-apply/patch:94: indent with spaces. =============================== ========================================== warning: 2 lines add whitespace errors. Thanks Alex > + > + 此处选择的算法也将被构建到内核中(而不是作为模块), > + 以便使用该算法签名的模块可以在不导致循环依赖的情况下检查其签名。 > + > + > + (4) :menuselection:`File name or PKCS#11 URI of module signing key` > + (``CONFIG_MODULE_SIG_KEY``) > + > + 将此选项设置为除默认值 ``certs/signing_key.pem`` 之外的其他值将禁用签名密钥的自动生成, > + 并允许使用您选择的密钥对内核模块进行签名。 > + 提供的字符串应标识包含私钥及其对应的 PEM 格式 X.509 证书的文件, > + 或者在 OpenSSL ENGINE_pkcs11 功能正常的系统上,使用 RFC7512 定义的 PKCS#11 URI。 > + 在后一种情况下,PKCS#11 URI 应引用证书和私钥。 > + > + 如果包含私钥的 PEM 文件已加密,或者 PKCS#11 令牌需要 PIN, > + 可以通过 ``KBUILD_SIGN_PIN`` 变量在构建时提供。 > + > + > + (5) :menuselection:`Additional X.509 keys for default system keyring` > + (``CONFIG_SYSTEM_TRUSTED_KEYS``) > + > + 此选项可设置为包含附加证书的 PEM 编码文件的文件名, > + 这些证书将默认包含在系统密钥环中。 > + > +请注意,启用模块签名会为内核构建过程添加对执行签名工具的 OpenSSL 开发包的依赖。 > + > + > +生成签名密钥 > +============ > + > +生成和检查签名需要加密密钥对。私钥用于生成签名,相应的公钥用于检查签名。 > +私钥仅在构建期间需要,之后可以删除或安全存储。 > +公钥被构建到内核中,以便在加载模块时可以使用它来检查签名。 > + > +在正常情况下,当 ``CONFIG_MODULE_SIG_KEY`` 保持默认值时, > +如果文件中不存在密钥对,内核构建将使用 openssl 自动生成新的密钥对:: > + > + certs/signing_key.pem > + > +在构建 vmlinux 期间(公钥需要构建到 vmlinux 中)使用参数:: > + > + certs/x509.genkey > + > +文件(如果尚不存在也会生成)。 > + > +可以在 RSA(``MODULE_SIG_KEY_TYPE_RSA``)、ECDSA(``MODULE_SIG_KEY_TYPE_ECDSA``) > +和 ML-DSA(``MODULE_SIG_KEY_TYPE_MLDSA_*``)之间选择生成 RSA 4k、NIST P-384 密钥对或 ML-DSA 44、65 或 87 密钥对。 > + > +强烈建议您提供自己的 x509.genkey 文件。 > + > +最值得注意的是,在 x509.genkey 文件中,req_distinguished_name 部分应从默认值更改:: > + > + [ req_distinguished_name ] > + #O = Unspecified company > + CN = Build time autogenerated kernel key > + #emailAddress =unspecified.user@unspecified.company > + > +生成的 RSA 密钥大小也可以通过以下方式设置:: > + > + [ req ] > + default_bits = 4096 > + > +也可以使用位于 Linux 内核源代码树根节点中的 x509.genkey 密钥生成配置文件和 openssl 命令手动生成公钥/私钥文件。 > +以下是生成公钥/私钥文件的示例:: > + > + openssl req -new -nodes -utf8 -sha256 -days 36500 -batch -x509 \ > + -config x509.genkey -outform PEM -out kernel_key.pem \ > + -keyout kernel_key.pem > + > +然后可以将生成的 kernel_key.pem 文件的完整路径名指定在 ``CONFIG_MODULE_SIG_KEY`` 选项中, > +并且将使用其中的证书和密钥而不是自动生成的密钥对。 > + > + > +内核中的公钥 > +============ > + > +内核包含一个可由 root 查看的公钥环。它们在名为 ".builtin_trusted_keys" 的密钥环中, > +可以通过以下方式查看:: > + > + [root@deneb ~]# cat /proc/keys > + ... > + 223c7853 I------ 1 perm 1f030000 0 0 keyring .builtin_trusted_keys: 1 > + 302d2d52 I------ 1 perm 1f010000 0 0 asymmetri Fedora kernel signing key: d69a84e6bce3d216b979e9505b3e3ef9a7118079: X509.RSA a7118079 [] > + > +除了专门为模块签名生成的公钥外,还可以在 ``CONFIG_SYSTEM_TRUSTED_KEYS`` 配置选项引用的 PEM 编码文件中提供其他受信任的证书。 > + > +此外,架构代码可以从硬件存储中获取公钥并将其添加(例如从 UEFI 密钥数据库)。 > + > +最后,可以通过以下方式添加其他公钥:: > + > + keyctl padd asymmetric "" [.builtin_trusted_keys-ID] <[key-file] > + > +例如:: > + > + keyctl padd asymmetric "" 0x223c7853 + > +但是,请注意,内核只允许将由已驻留在 ``.builtin_trusted_keys`` 中的密钥有效签名的密钥添加到 ``.builtin_trusted_keys``。 > + > +模块手动签名 > +============ > + > +要手动对模块进行签名,请使用 Linux 内核源代码树中可用的 scripts/sign-file 工具。 > +该脚本需要 4 个参数: > + > + 1. 哈希算法(例如,sha256) > + 2. 私钥文件名或 PKCS#11 URI > + 3. 公钥文件名 > + 4. 要签名的内核模块 > + > +以下是签名内核模块的示例:: > + > + scripts/sign-file sha512 kernel-signkey.priv \ > + kernel-signkey.x509 module.ko > + > +使用的哈希算法不必与配置的算法匹配,但如果不同, > +应确保哈希算法要么内置在内核中,要么可以在不需要自身的情况下加载。 > + > +如果私钥需要密码或 PIN,可以在 $KBUILD_SIGN_PIN 环境变量中提供。 > + > + > +已签名模块和剥离 > +================ > + > +已签名模块在末尾简单地附加了数字签名。模块文件末尾的字符串 > +``~Module signature appended~.`` 确认签名存在,但不能确认签名有效! > + > +已签名模块是脆弱的,因为签名在定义的ELF容器之外。 > +因此,一旦计算并附加签名,就不得剥离它们。 > +请注意,整个模块都是签名的有效载荷,包括签名时存在的任何和所有调试信息。 > + > + > +加载已签名模块 > +============== > + > +模块通过 insmod、modprobe、``init_module()`` 或 ``finit_module()`` 加载, > +与未签名模块完全一样,因为在用户空间中不进行任何处理。 > +所有签名检查都在内核内完成。 > + > + > +无效签名和未签名模块 > +==================== > + > +如果启用了 ``CONFIG_MODULE_SIG_FORCE`` 或在内核启动命令提供了 module.sig_enforce=1, > +内核将仅加载具有有效签名且具有公钥的模块。 > +否则,它还将加载未签名的模块。 > +任何具有不匹配签名的模块将不被允许加载。 > + > +任何具有不可解析签名的模块将被拒绝。 > + > + > +管理/保护私钥 > +============== > + > +由于私钥用于签名模块,病毒和恶意软件可以使用私钥签名模块并危害操作系统。 > +私钥必须被销毁或移动到安全位置,而不是保存在内核源代码树的根节点中。 > + > +如果使用相同的私钥为多个内核配置签名模块, > +必须确保模块版本信息足以防止将模块加载到不同的内核中。 > +要么设置 ``CONFIG_MODVERSIONS=y``,要么通过更改 ``EXTRAVERSION`` 或 ``CONFIG_LOCALVERSION`` 确保每个配置具有不同的内核发布字符串。 > -- 2.43.0 >