Buscar

Capítulo 8. Seguridad

download PDF

8.1. Cambios en los componentes criptográficos principales

8.1.1. Las políticas criptográficas de todo el sistema se aplican por defecto

Crypto-policies es un componente en Red Hat Enterprise Linux 8, que configura los subsistemas criptográficos centrales, cubriendo los protocolos TLS, IPsec, DNSSEC, Kerberos y la suite OpenSSH. Proporciona un pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el comando update-crypto-policies.

La política criptográfica de todo el sistema DEFAULT ofrece una configuración segura para los modelos de amenaza actuales. Permite los protocolos TLS 1.2 y 1.3, así como los protocolos IKEv2 y SSH2. Las claves RSA y los parámetros Diffie-Hellman se aceptan si son mayores de 2047 bits.

Consulte el artículo Seguridad consistente mediante políticas de criptografía en Red Hat Enterprise Linux 8 en el Blog de Red Hat y la página man update-crypto-policies(8) para más información.

8.1.2. Criptografía fuerte por defecto mediante la eliminación de suites de cifrado y protocolos inseguros

La siguiente lista contiene conjuntos de cifrado y protocolos eliminados de las bibliotecas criptográficas del núcleo en RHEL 8. No están presentes en las fuentes, o su soporte está deshabilitado durante la compilación, por lo que las aplicaciones no pueden utilizarlos.

  • DES (desde RHEL 7)
  • Todos los conjuntos de cifrado de grado de exportación (desde RHEL 7)
  • MD5 en las firmas (desde RHEL 7)
  • SSLv2 (desde RHEL 7)
  • SSLv3 (desde RHEL 8)
  • Todas las curvas ECC < 224 bits (desde RHEL 6)
  • Todas las curvas ECC de campo binario (desde RHEL 6)

8.1.3. Suites de cifrado y protocolos desactivados en todos los niveles de política

Los siguientes conjuntos de cifrado y protocolos están deshabilitados en todos los niveles de la política de cifrado. Sólo se pueden habilitar mediante una configuración explícita de las aplicaciones individuales.

  • DH con parámetros < 1024 bits
  • RSA con tamaño de clave < 1024 bits
  • Camellia
  • ARIA
  • SEED
  • IDEA
  • Suites de cifrado de sólo integridad
  • Suites de cifrado en modo CBC de TLS con SHA-384 HMAC
  • AES-CCM8
  • Todas las curvas ECC incompatibles con TLS 1.3, incluida secp256k1
  • IKEv1 (desde RHEL 8)

8.1.4. Cambio del sistema al modo FIPS

Las políticas criptográficas de todo el sistema contienen un nivel de política que permite la autocomprobación de los módulos criptográficos de acuerdo con los requisitos de la Publicación 140-2 del Estándar Federal de Procesamiento de Información (FIPS). La herramienta fips-mode-setup que activa o desactiva el modo FIPS utiliza internamente el nivel de política criptográfica de todo el sistema FIPS.

Para cambiar el sistema al modo FIPS en RHEL 8, introduzca el siguiente comando y reinicie el sistema:

# fips-mode-setup --enable

Consulte la página de manual fips-mode-setup(8) para obtener más información.

8.1.5. TLS 1.0 y TLS 1.1 están obsoletos

Los protocolos TLS 1.0 y TLS 1.1 están desactivados en el nivel de política criptográfica de todo el sistema DEFAULT. Si su escenario, por ejemplo, una aplicación de videoconferencia en el navegador web Firefox, requiere el uso de los protocolos obsoletos, cambie la política criptográfica de todo el sistema al nivel LEGACY:

# update-crypto-policies --set LEGACY

Para más información, consulte el artículo de la base de conocimientos Strong crypto defaults in RHEL 8 and deprecation of weak crypto algorithms en el Portal del Cliente de Red Hat y la página man update-crypto-policies(8).

8.1.6. Soporte de TLS 1.3 en las bibliotecas criptográficas

Esta actualización habilita la seguridad de la capa de transporte (TLS) 1.3 por defecto en todas las principales bibliotecas criptográficas del back-end. Esto permite una baja latencia en la capa de comunicaciones del sistema operativo y mejora la privacidad y la seguridad de las aplicaciones al aprovechar los nuevos algoritmos, como RSA-PSS o X25519.

8.1.7. DSA está obsoleto en RHEL 8

El Algoritmo de Firma Digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de claves DSA no funcionan en la configuración por defecto. Tenga en cuenta que los clientes de OpenSSH no aceptan claves de host DSA incluso en el nivel de política criptográfica de todo el sistema LEGACY.

8.1.8. SSL2 Client Hello ha quedado obsoleta en NSS

El protocolo Transport Layer Security (TLS) versión 1.2 y anteriores permiten iniciar una negociación con un mensaje Client Hello formateado de manera compatible con el protocolo Secure Sockets Layer (SSL) versión 2. La compatibilidad con esta función en la biblioteca de servicios de seguridad de la red (NSS) ha quedado obsoleta y está desactivada por defecto.

Las aplicaciones que requieren soporte para esta característica necesitan usar la nueva API SSL_ENABLE_V2_COMPATIBLE_HELLO para habilitarla. El soporte para esta función puede ser eliminado completamente en futuras versiones de Red Hat Enterprise Linux 8.

8.1.9. NSS ahora utiliza SQL por defecto

Las bibliotecas de los Servicios de Seguridad de la Red (NSS) utilizan ahora por defecto el formato de archivo SQL para la base de datos de confianza. El formato de archivo DBM, que se utilizaba como formato de base de datos por defecto en versiones anteriores, no admite el acceso concurrente a la misma base de datos por parte de varios procesos y ha quedado obsoleto en la versión anterior. Como resultado, las aplicaciones que utilizan la base de datos de confianza del NSS para almacenar claves, certificados e información de revocación ahora crean bases de datos en el formato SQL por defecto. Los intentos de crear bases de datos en el formato DBM heredado fallan. Las bases de datos DBM existentes se abren en modo de sólo lectura y se convierten automáticamente al formato SQL. Tenga en cuenta que NSS soporta el formato de archivo SQL desde Red Hat Enterprise Linux 6.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.