Kapitel 3. Sicherheit
Änderungen bezüglich FIPS 140-2 Zertifizierung
In Red Hat Enterprise Linux 6.5 wird eine Integritätsprüfung ausgeführt, wenn das dracut-fips Paket vorhanden ist, unabhängig davon, ob der Kernel im FIPS-Modus arbeitet oder nicht. Für detaillierte Informationen um Red Hat Enterprise Linux 6.5 FIPS 140-2 konform zu machen, berücksichtigen Sie die folgende Knowledge-Base Lösung:
OpenSSL aktualisiert auf Version 1.0.1
Dieses Update fügt die folgenden Chiffren für transparente Verschlüsselung und Authentifizierungs-Unterstützung, die in GlusterFS benötigt werden, hinzu:
- CMAC (Cipher-based MAC)
- XTS (XEX Tweakable Block Cipher with Ciphertext Stealing)
- GCM (Galois/Counter Mode)
Unterstützung für Smartcard in OpenSSH
OpenSSH erfüllt jetzt den PKCS # 11-Standard, wodurch OpenSSH Smartcards für die Authentifizierung verwenden können.
ECDSA Unterstützung in OpenSSL
Elliptic Curve Digital Signature Algorithm (ECDSA) ist eine Variante des Digital Signature Algorithm (DSA) welche Elliptic Curve Cryptography (ECC) verwendet. Bitte beachten Sie, dass nur die
nistp256 und nistp384 Kurven unterstützt werden.
ECDHE Unterstützung in OpenSSL
Ephemeral Elliptic Curve Diffie-Hellman (ECDHE) wird unterstützt, die für Perfect Forward Secrecy mit viel geringeren Rechenaufwand-Anforderungen erlaubt.
Unterstützung von TLS 1.1 und 1.2 in OpenSSL und NSS
OpenSSL und NSS unterstützen jetzt die neuesten Versionen des Transport Layer Security (TLS)-Protokolls, das die Sicherheit von Netzwerkverbindungen erhöht und die vollständige Interoperabilität mit anderen TLS-Protokoll-Implementierungen ermöglicht. Das TLS-Protokoll ermöglicht Client-Server-Anwendungen über ein Netzwerk zu kommunizieren, das entwickelt wurde, um Abhören und Manipulationen zu verhindern.
OpenSSH Unterstützung für HMAC-SHA2 Algorithmus
In Red Hat Enterprise Linux 6.5 kann die SHA-2 kryptographische Hash-Funktion verwendet werden einen Hash-Message Authentication Code (MAC) herzustellen, der Daten-Integrität und -Überprüfung in OpenSSH ermöglicht.
Präfix Makro in OpenSSL
Die openssl Spec-Datei verwendet jetzt das Präfix Makro, das den Wiederaufbau der openssl Pakete erlaubt, damit sie verlagert werden können.
NSA Suite B Kryptographie Unterstützung
Suite B ist eine Reihe von kryptographischen Algorithmen, die von der NSA als Teil ihres kryptographischen Modernisierungs-Programmes angegeben sind. Es dient als interoperabler kryptographischer Ausgangspunkt für sowohl nicht klassifizierte Informationen als auch die meisten klassifizierten Informationen. Es umfasst:
- Advanced Encryption Standard (AES) mit Schlüssellängen von 128 und 256 Bit. Für den Verkehrsfluss sollte AES entweder mit Counter Mode (CTR) für niedrige Verkehrs-Bandbreite oder Galois/Counter Mode (GCM) Betrieb für hohe Verkehrs-Bandbreite und symmetrische Verschlüsselung verwendet werden.
- Elliptic Curve Digital Signature Algorithm (ECDSA) Digitale Signaturen.
- Elliptic Curve Diffie-Hellman (ECDH) Schlüssel Vereinbarung.
- Secure Hash Algorithm 2 (SHA-256 and SHA-384) Nachrichtenzusammenfassung.
Gemeinsame System Zertifikate
NSS, GnuTLS, OpenSSL und Java wurden verpflichtet eine Standard-Quelle für das Abrufen von System-Zertifikat-Fixpunkten und Blacklist Informationen zu teilen, um einen System-weiten Trust-Store von statischen Daten, die von Krypto-Toolkits als Eingabe für Zertifikats-Vertrauens-Entscheidungen dient, zu aktivieren. Die System-Ebenen Verwaltung von Zertifikaten hilft der Benutzerfreundlichkeit und wird von lokalen System-Umgebungen und Firmen-Bereitstellungen benötigt.
Automatische Synchronisierung von lokalen Benutzern zentral in der Identitätsverwaltung
Automatische Synchronisierung von lokalen Benutzern zentral in der Identitätsverwaltung in Red Hat Enterprise Linux 6.5 erleichtert die zentrale Verwaltung von lokalen Benutzern.
ECC Unterstützung in NSS
Network Security Services (NSS) in Red Hat Enterprise Linux 6.5 unterstützt jetzt Elliptic curve cryptography (ECC).
