内核加固检查器新增对SHA3-512模块签名选项的支持

随着Linux内核6.7版本的发布，内核模块签名机制迎来了一个重要更新：新增了CONFIG_MODULE_SIG_SHA3_512配置选项。这一变化对系统安全性和内核加固检查器的功能都产生了直接影响。

模块签名机制的发展

内核模块签名是Linux内核的一项重要安全特性，它通过密码学方法确保加载的内核模块来源可信且未被篡改。传统上，内核使用SHA-512算法（通过CONFIG_MODULE_SIG_SHA512配置）来实现这一功能。

在6.7内核中，开发者引入了基于SHA3-512算法的替代选项（CONFIG_MODULE_SIG_SHA3_512）。SHA3作为NIST标准化的新一代哈希算法，具有更强的抗碰撞能力和不同的内部结构，为系统安全提供了更多选择。

技术实现细节

这两个配置选项是互斥的，因为：

1. 内核构建系统只需要一种哈希算法来处理模块签名
2. 同时启用会导致功能冗余和潜在的冲突

当用户启用新的SHA3-512选项时，内核会自动禁用传统的SHA-512选项。这种设计确保了系统的简洁性和一致性。

对内核加固检查器的影响

内核加固检查器作为安全审计工具，需要适应这一变化。最新版本已经更新了检查逻辑，现在会：

1. 将这两个选项视为同等有效的安全配置
2. 在检查报告中明确显示"OR"关系
3. 只要其中任一选项启用，就视为满足安全要求

这种改进使得工具既能保持严格的安全标准，又能兼容内核的最新发展。

安全建议

对于系统管理员和安全工程师：

1. 在新部署的系统上，建议优先考虑SHA3-512选项
2. 现有系统升级时，可以评估是否要切换到新算法
3. 无论选择哪种算法，都要确保私钥的安全存储

内核加固检查器的这一更新，体现了安全工具跟随核心技术发展的必要性，也为用户提供了更全面的安全审计能力。