8.2. Politiques cryptographiques à l'échelle du système
Les politiques cryptographiques à l'échelle du système sont un composant du système qui configure les sous-systèmes cryptographiques de base, couvrant les protocoles TLS, IPSec, SSH, DNSSec et Kerberos.
Le processus de mise à niveau en place préserve la stratégie cryptographique utilisée dans RHEL 8. Par exemple, si vous avez utilisé la stratégie cryptographique DEFAULT
dans RHEL 8, votre système mis à niveau vers RHEL 9 utilise également DEFAULT
. Notez que les paramètres spécifiques des politiques prédéfinies diffèrent et que les politiques cryptographiques de RHEL 9 contiennent des valeurs par défaut plus strictes et plus sûres. Par exemple, la stratégie cryptographique RHEL 9 DEFAULT
restreint l'utilisation de SHA-1 pour les signatures et la stratégie LEGACY
n'autorise plus les algorithmes de chiffrement DH et RSA de moins de 2048 bits. Pour plus d'informations, voir la section " Strong crypto defaults " du document " Security hardening" (renforcement de la sécurité). Les règles cryptographiques personnalisées sont préservées lors de la mise à niveau en place.
Pour afficher ou modifier la politique cryptographique actuelle du système, utilisez l'outil update-crypto-policies :
$ update-crypto-policies --show
DEFAULT
Par exemple, la commande suivante fait passer le niveau de la politique cryptographique de l'ensemble du système à FUTURE
, ce qui devrait permettre de résister à toute attaque future à court terme :
# update-crypto-policies --set FUTURE
Setting system policy to FUTURE
Si votre scénario nécessite l'utilisation de SHA-1 pour la vérification des signatures cryptographiques existantes ou de tiers, vous pouvez l'activer en entrant la commande suivante :
# update-crypto-policies --set DEFAULT:SHA1
Vous pouvez également basculer les stratégies cryptographiques du système vers la stratégie LEGACY
. Cependant, LEGACY
autorise également de nombreux autres algorithmes qui ne sont pas sûrs.
L'activation de la sous-politique SHA
rend votre système plus vulnérable que les paramètres par défaut de RHEL 9. Le passage à la stratégie LEGACY
est encore moins sûr et doit être utilisé avec prudence.
Vous pouvez également personnaliser les politiques cryptographiques à l'échelle du système. Pour plus d'informations, reportez-vous aux sections Personnaliser les politiques cryptographiques à l'échelle du système à l'aide de modificateurs de politique et Créer et paramétrer une politique cryptographique personnalisée à l'échelle du système. Si vous utilisez une stratégie cryptographique personnalisée, pensez à la revoir et à la mettre à jour pour atténuer les menaces liées aux progrès de la cryptographie et du matériel informatique.
Ressources supplémentaires
- Utilisation de politiques cryptographiques à l'échelle du système
-
update-crypto-policies(8)
page de manuel.