<div dir="ltr"><p style="color:rgb(0,0,0)">Hello Community, </p><p style="color:rgb(0,0,0)">I'm proposing an update to the BMC tar image to adopt the FIPS 204 (ML-DSA) Post-Quantum Encryption Standards, <a href="https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards">finalized by NIST</a> in August 2024. This update will enhance the security and integrity of the image by incorporating a post-quantum resistant signing method using ML-DSA, in addition to the existing RSA signing method. The proposed design includes the following aspects:</p><ul style="color:rgb(0,0,0)"><li>Generating a new set of private and public key pairs for ML-DSA</li><li>Updating the directory structure to include MLDSA signature files, with a proposed structure as follows: </li><ul><li>image-rofs.sig </li><li>image-kernel.sig</li><li>MANIFEST.sig </li><li>publickey </li><li>MLDSA/ </li><ul><li>public_key_MLDSA </li><li>image-bmc_MLDSA.sig</li><li>image-hostfw_MLDSA.sig</li><li>image-kernel_MLDSA.sig</li><li>image-rofs_MLDSA.sig</li><li>image-rwfs_MLDSA.sig</li><li>image-u-boot_MLDSA.sig</li><li>MANIFEST_MLDSA.sig</li></ul></ul><li>Modifying the image generation process to support the new signing method, including updates to generate and include MLDSA signature files in the tar archive</li><li>Updating the manifest to include MLDSA-related information</li><li>Ensuring backward compatibility with existing RSA signing methods to allow for a smooth transition to the new ML-DSA signing method. The code update will perform ML-DSA verification only if a valid ML-DSA key is found on the BMC flash; otherwise, it will skip this check and only perform RSA verification. Additionally, if an ML-DSA key is present on the BMC flash, an ML-DSA signature is expected to be present in the incoming image; if not, the image will be rejected to prevent reverting to RSA-only verification by removing ML-DSA signatures from newer images.</li><li>Modifying the signature verification process to support both RSA and ML-DSA signature validation.</li></ul><div><span style="color:rgb(0,0,0)"><font face="arial, sans-serif">Please share any feedback or suggestions you may have.</font></span><font color="#000000"><span style="caret-color: rgb(0, 0, 0);"><br></span></font></div><div><span style="color:rgb(0,0,0)"><font face="arial, sans-serif"><br></font></span></div><div><span style="color:rgb(0,0,0)"><font face="arial, sans-serif">Thanks & Regards,</font></span></div><div><span style="color:rgb(0,0,0)"><font face="arial, sans-serif">Jishnu.</font></span></div><div><span style="color:rgb(0,0,0)"><font face="arial, sans-serif"><br></font></span></div><div><font color="#000000"><span style="caret-color: rgb(0, 0, 0);"><br></span></font></div></div>