Capitolo 3. Sicurezza
Modifiche relative alla certificazione FIPS 140-2
In Red Hat Enterprise Linux 6.5 è necessario avere installato il pacchetto dracut-fips per eseguire la verifica dell'integrità, non è necessario che il kernel operi in modalità FIPS. Per informazioni dettagliate su come rendere conforme Red Hat Enterprise Linux 6.5 agli standard FIPS 140-2, consultare la seguente soluzione del Knowledge Base:
OpenSSL aggiornato alla versione 1.0.1
Questo aggiornamento apporta i seguenti tipi di crittografia necessari per il supporto dell'autenticazione e della cifratura trasparente in GlusterFS:
- CMAC (Cipher-based MAC)
- XTS (XEX Tweakable Block Cipher with Ciphertext Stealing)
- GCM (Galois/Counter Mode)
Supporto delle Smartcard OpenSSH
OpenSSH è ora conforme allo standard PKCS #11, il quale permette a OpenSSH di usare le smartcard per i processi di autenticazione.
Supporto ECDSA in OpenSSL
Elliptic Curve Digital Signature Algorithm (ECDSA) è una variante del Digital Signature Algorithm (DSA) il quale utilizza una Elliptic Curve Cryptography (ECC). Da notare che sono supportati solo
nistp256 e nistp384.
Supporto ECDHE in OpenSSL
Ephemeral Elliptic Curve Diffie-Hellman (ECDHE) è ora supportato e permette di avere un Perfect Forward Secrecy con requisiti informatici più bassi.
Supporto di TLS 1.1 e 1.2 in OpenSSL e NSS
OpenSSL e NSS supportano ora le ultimissime versioni del protocollo Transport Layer Security (TLS), il quale aumenta il livello di sicurezza delle connessioni di rete e permette di avere una interoperabilità completa con altre implementazioni del protocollo TLS. Il protocollo TLS permette alle applicazioni client-server di comunicare sulla rete in modo da non essere intercettate o manipolate.
Supporto OpenSSH dell'algoritmo HMAC-SHA2
Con Red Hat Enterprise Linux 6.5 è ora possibile utilizzare la funzione hash crittografica per la creazione di un hash message authentication code (MAC), il quale permette di avere una verifica e una integrità dei dati in OpenSSH.
Macro prefix in OpenSSL
openssl utilizza ora la macro prefix per mezzo della quale è possibile ricompilare i pacchetti openssl in modo da poterli riassegnare.
Supporto crittografia NSA Suite B
Suite B è un insieme di algoritmi crittografici specificati dalla NSA come parte del proprio Programma di rinnovamento per la crittografia. Esso rappresenta una base crittografica interoperabile sia per informazioni riservate che per quelle non riservate. Esso include:
- Advanced Encryption Standard (AES) con dimensioni della chiave di 128 e 256 bit. Per il traffico usare AES con Counter Mode (CTR) per un traffico della banda basso o Galois/Counter Mode (GCM) per un traffico di banda elevato e una cifratura simmetrica.
- Firme digitali Elliptic Curve Digital Signature Algorithm (ECDSA).
- Elliptic Curve Diffie-Hellman (ECDH) key agreement.
- Digest del messaggio Secure Hash Algorithm 2 (SHA-256 e SHA-384).
Certificati del sistema condivisi
NSS, GnuTLS, OpenSSL e Java sono stati integrati in modo da condividere un sorgente predefinito per il recupero delle informazioni della blacklist e dei system certificate anchor. Tale processo viene usato per l'archiviazione del trust per l'intero sistema dei dati statici usati dai toolkit crittografici come input per le decisioni sul trust del certificato. L'amministrazione a livello del sistema dei certificati facilita l'uso ed è necessaria per gli ambienti del sistema locale e per implementazioni aziendali.
Sincronizzazione automatica di Utenti locali centralizzata nella Gestione dell'identità
Con Red Hat Enterprise Linux 6.5 la Sincronizzazione automatica di Utenti locali centralizzata nella Gestione dell'identità, facilità la gestione centralizzata degli utenti locali.
Supporto ECC in NSS
Network Security Services (NSS) in Red Hat Enterprise Linux 6.5 supporta ora l'Elliptic curve cryptography (ECC).
