9.2. セキュリティー

oqsprovider と liboqs が非推奨となりました

OpenSSL 3.0 用に耐量子計算機暗号 (PQC) を提供していた oqsprovider および liboqs パッケージが非推奨となりました。これらは今後のメジャーリリースで削除される可能性があります。代わりに、OpenSSL 3.5 が提供する PQC 機能を使用してください。

crypto-policies の X25519-MLKEM768 が非推奨となり、MLKEM768-X25519 という値へのエイリアスになりました

システム全体の暗号化ポリシーの X25519-MLKEM768 値が非推奨となり、MLKEM768-X25519 という値へのエイリアスになりました。これにより、結合順序が統一され、どちらの表記も機能するようになりました。

OpenSSL の ENGINE API が非推奨となる

RHEL 10 では、ENGINE API は非推奨となり、今後のメジャーリリースで削除される予定です。ENGINE API を使用して新しいアプリケーションを構築しないでください。アプリケーションバイナリーインターフェイス (ABI) と既存のアプリケーションの動作を維持するために、OpenSSL は引き続き ENGINE シンボルをエクスポートします。新しいアプリケーションが ENGINE API を使用しないようにするために、OpenSSL はシステム全体で OPENSSL_NO_ENGINE フラグを設定し、ENGINE API を公開するヘッダー engine.h が削除されました。

GnuTLS の crypto-policies で allow-rsa-pkcs1-encrypt = false が設定されるようになる

RHEL 10 では、GnuTLS ライブラリーがデフォルトで RSA PKCS #1 v1.5 パディングによる暗号化と復号化をブロックします。LEGACY ポリシーを除き、すべてのシステム全体の暗号化ポリシー (DEFAULT、FUTURE、および FIPS) で allow-rsa-pkcs1-encrypt = false オプションが指定されます。

FIPS モードの HMAC-SHA-1 が非推奨となる

HMAC-SHA-1 暗号化アルゴリズムは FIPS モードでは非推奨となり、今後のリリースで削除される可能性があります。FIPS モード外では、HMAC-SHA-1 のサポートが維持されます。