Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

8.2. Politiques cryptographiques à l'échelle du système

download PDF

Les politiques cryptographiques à l'échelle du système sont un composant du système qui configure les sous-systèmes cryptographiques de base, couvrant les protocoles TLS, IPSec, SSH, DNSSec et Kerberos.

Le processus de mise à niveau en place préserve la stratégie cryptographique utilisée dans RHEL 8. Par exemple, si vous avez utilisé la stratégie cryptographique DEFAULT dans RHEL 8, votre système mis à niveau vers RHEL 9 utilise également DEFAULT. Notez que les paramètres spécifiques des politiques prédéfinies diffèrent et que les politiques cryptographiques de RHEL 9 contiennent des valeurs par défaut plus strictes et plus sûres. Par exemple, la stratégie cryptographique RHEL 9 DEFAULT restreint l'utilisation de SHA-1 pour les signatures et la stratégie LEGACY n'autorise plus les algorithmes de chiffrement DH et RSA de moins de 2048 bits. Pour plus d'informations, voir la section " Strong crypto defaults " du document " Security hardening" (renforcement de la sécurité). Les règles cryptographiques personnalisées sont préservées lors de la mise à niveau en place.

Pour afficher ou modifier la politique cryptographique actuelle du système, utilisez l'outil update-crypto-policies : 

$ update-crypto-policies --show
DEFAULT

Par exemple, la commande suivante fait passer le niveau de la politique cryptographique de l'ensemble du système à FUTURE, ce qui devrait permettre de résister à toute attaque future à court terme : 

# update-crypto-policies --set FUTURE
Setting system policy to FUTURE

Si votre scénario nécessite l'utilisation de SHA-1 pour la vérification des signatures cryptographiques existantes ou de tiers, vous pouvez l'activer en entrant la commande suivante : 

# update-crypto-policies --set DEFAULT:SHA1

Vous pouvez également basculer les stratégies cryptographiques du système vers la stratégie LEGACY. Cependant, LEGACY autorise également de nombreux autres algorithmes qui ne sont pas sûrs.

Avertissement

L'activation de la sous-politique SHA rend votre système plus vulnérable que les paramètres par défaut de RHEL 9. Le passage à la stratégie LEGACY est encore moins sûr et doit être utilisé avec prudence.

Vous pouvez également personnaliser les politiques cryptographiques à l'échelle du système. Pour plus d'informations, reportez-vous aux sections Personnaliser les politiques cryptographiques à l'échelle du système à l'aide de modificateurs de politique et Créer et paramétrer une politique cryptographique personnalisée à l'échelle du système. Si vous utilisez une stratégie cryptographique personnalisée, pensez à la revoir et à la mettre à jour pour atténuer les menaces liées aux progrès de la cryptographie et du matériel informatique.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.