Более года шла разработка функции, которая позволит создавать секретные области памяти в Linux. Эти области будут видны только процессу-владельцу и не будут показываться другим процессам, а их содержимое будет недоступно ядру. Задачей этой подсистемы является повышение защиты.
К примеру, при использовании OpenSSL в пользовательском пространстве в этой области можно хранить закрытые ключи, что уменьшает вероятность их компрометации. Отдельно стоит отметить, что для скрытых таким образом областей памяти не предполагается использование шифрования или иных методов дополнительной защиты.
При этом по умолчанию эта функция отключена. Для её запуска во время загрузки системы нужно передать особый параметр. Функциональность секретной памяти и системный вызов memfd_secret скрыты за параметром secretmem_enable, по крайней мере, на данный момент. Само собой, пока это ранняя версия функции. Однако не стоит исключать, что в сборке ядра Linux 5.13 она уже станет доступна для использования.