第3章 セキュリティ
FIPS 140-2 証明書に関連する変更について
Red Hat Enterprise Linux 6.5では、カーネルが FIPS モードで稼働中かどうかにかかわらず、dracut-fips パッケージがあれば整合性の検証が実行されます。Red Hat Enterprise Linux 6.5 を FIPS 140-2 準拠とする詳細情報については、以下のナレッジベースのソリューションを参照してください。
OpenSSL がバージョン 1.0.1 に更新
この更新では、GlusterFS での透過的な暗号化および認証サポートに必要となる以下の暗号を追加します。
- CMAC (暗号ベースの MAC)
- XTS (XEX Tweakable Block Cipher with Ciphertext Stealing)
- GCM (ガロア/カウンターモード)
OpenSSH でのスマートカードのサポート
OpenSSH は PKCS #11 標準に準拠し、これにより OpenSSH は認証にスマートカードが使用できます。
OpenSSL での ECDSA サポート
Elliptic Curve Digital Signature Algorithm (ECDSA) はデジタル署名アルゴリズム (DSA) の一種で、これは楕円曲線暗号 (ECC) を使用します。
nistp256
および nistp384
曲線のみがサポートされていることに注意してください。
OpenSSL での ECDHE サポート
Ephemeral Elliptic Curve Diffie-Hellman (ECDHE) がサポートされており、これにより Perfect Forward Secrecy の演算要件が非常に低くなります。
OpenSSL および NSS での TLS 1.1 と 1.2 のサポート
OpenSSL および NSS は最新バージョンのトランスポート層セキュリティ (TLS) プロトコルに対応しており、これによりネットワーク接続の安全性が増し、他の TLS プロトコル実装との完全な相互運用が可能になります。TLS プロトコルは、傍受や改ざんを防止するために設計された方法でネットワーク全体の通信をクライアント/サーバーアプリケーションができるようにします。
HMAC-SHA2 アルゴリズムの OpenSSH サポート
Red Hat Enterprise Linux 6.5 では、SHA-2 暗号化ハッシュ機能をハッシュメッセージの認証コード (MAC) の作成に使用できます。これにより、OpenSSH でのデータの整合性および検証が可能になります。
OpenSSL でのプレフィックスマクロ
openssl spec ファイルはプレフィックスマクロを使用するので、openssl パッケージの再配置のためにこれらを再構築することが可能になります。
NSA スイート B 暗号法サポート
スイート B は、NSA が暗号化現代化プログラムの一部として指定している暗号化アルゴリズムのセットです。秘密でない情報と秘密情報のほとんどにおいて相互運用性のある暗号化ベースとして機能し、以下のものが含まれます。
- キーサイズが 128 および 256 ビットの高度暗号化標準化 (Advanced Encryption Standard: AES)。トラフィックフローでは、低帯域幅のトラフィックには AES はカウンターモード (CTR) と使用し、高帯域幅および対称暗号化にはガロア/カウンターモード (GCM) と使用します。
- Elliptic Curve Digital Signature Algorithm (ECDSA) のデジタル署名。
- Elliptic Curve Diffie-Hellman (ECDH) のキーの承諾。
- セキュアハッシュアルゴリズム 2 (SHA-256 and SHA-384) のメッセージダイジェスト。
共有システム証明書
NSS、GnuTLS、OpenSSL、Java は、暗号化ツールキットが証明書の信頼性決定のためのインプットとして使用するシステム全体にわたる静的データの信頼ストアを有効にする目的で、システム証明書アンカーとブラックリスト情報を取得するためのデフォルトソースを共有するために用いられてきました。証明書のシステムレベルでの管理は、その使用を容易にするとともに、ローカルシステムの環境および企業導入において必要となります。
Identity Management でのローカルユーザーの自動集中同期化
Red Hat Enterprise Linux 6.5 における Identity Management でのローカルユーザーの自動集中同期化 は、ローカルユーザーの集中管理を容易にします。
NSS での ECC サポート
Red Hat Enterprise Linux 6.5 の Network Security Services (NSS) は、Elliptic curve cryptography (ECC) に対応しています。