Capítulo 3. Seguridad
Cambios relacionados con certificación FIPS 140-2
En Red Hat Enterprise Linux 6.5, la verificación de integridad se realiza cuando el paquete dracut-fips está presente, independiente de si el kernel opera en modo FIPS o no. Para una información más detallada sobre cómo hacer que Red Hat Enterprise Linux 6.5 cumpla con FIPS 140-2, consulte la siguiente solución de la Base de conocimientos:
OpenSSL ha sido actualizado a la versión 1.0.1
Esta actualización añade las siguientes cifras necesarias para cifrado transparente y soporte de autenticación en GlusterFS:
- CMAC (MAC con base en cifra)
- XTS (Cifrado de bloques modificables con Apropiación de texto cifrado - XEX)
- GCM (Modo de conteo/Galo)
Soporte para tarjeta inteligente en OpenSSH
Ahora, OpenSSH cumple con la norma PKCS #11, la cual permite a OpenSSH usar tarjetas inteligentes para autenticación.
Soporte ECDSA en in OpenSSL
El Algoritmo de signatura digital de curva elíptica (ECDSA) es una variante del Algoritmo de signatura digital (DSA) que usa Criptografía de curva elíptica (ECC). Observe que únicamente las curvas
nistp256
y nistp384
tienen soporte.
Soporte ECDHE en OpenSSL
La Curva elíptica efímera Diffie-Hellman (ECDHE) está soportada, lo cual permite Confidencialidad de reenvío perfecta con menos requerimientos informáticos.
Soporte de TLS 1.1 y 1.2 en OpenSSL y NSS
OpenSSL y NSS ahora soportan las últimas versiones del protocolo de la Seguridad de capa de transporte (TLS), el cual aumenta la seguridad de las conexiones y habilita total interoperatividad con otras implementaciones de protocolo TLS. El protocolo TLS permite a las aplicaciones de cliente-servidor comunicarse a través de una red en una forma diseñada para evitar interceptaciones pasivas y alteraciones.
Soporte OpenSSH de algoritmo HMAC-SHA2
En Red Hat Enterprise Linux 6.5, la función Hash SHA-2 de criptografía ahora puede utilizarse en la producción de un código de autenticación de mensaje numérico (MAC), el cual habilita la integridad de los datos y la verificación en OpenSSH.
prefijo Macro en OpenSSL
El archivo 'spec' openssl ahora usa el prefijo macro, el cual permite la reconstrucción de los paquetes openssl para reubicarlos.
Soporte de criptografía NSA Suite B
Suite B es un grupo de algoritmos criptográficos especificados por la NSA como parte del programa de modernización criptográfica. Sirve de base criptográfica interoperable para información no clasificada y para la mayor parte de información clasificada. Incluye:
- Normas de cifrado avanzado (AES) con tamaños de 128 y 256 bits. Para flujo de tráfico, AES debe utilizarse ya sea en modo de Contador (CTR) para tráfico de ancho de banda o modo Galo/Contador (GCM) de operación para tráfico de ancho de banda alta y cifrado simétrico.
- Signaturas digitales de Algoritmo de signatura digital de curva elíptica (ECDSA).
- Acuerdo de clave de Curva elíptica Diffie-Hellman (ECDH).
- Entender mensaje de Algoritmo de Hash 2 seguro (SHA-256 y SHA-384).
Certificados de sistema compartidos
NSS, GnuTLS, OpenSSL y Java han sido enlistados para compartir una fuente predeterminada para recuperar anclas de certificado de sistemas e información de lista negra para habilitar el almacén de confianzas de todo un sistema de datos estáticos que es utilizado por kits de herramientas criptográficas como entrada para decisiones de confianza sobre certificados. La administración de certificados a nivel de sistemas ayuda a aliviar el uso y es requerido por entornos de sistemas locales e implementaciones corporativas.
Sincronización automática de Usuarios locales de manejo central en Administración de identidad
La sincronización automática de usuarios locales de manejo central en Administración de identidad en Red Hat Enterprise Linux 6.5 facilita el manejo de usuarios locales.
Soporte ECC en NSS
Los Servicios de seguridad de redes (NSS) en Red Hat Enterprise Linux 6.5 ahora soportan Criptografía de curva elíptica (ECC).