第3章 セキュリティー
FIPS 140-2 認定に対する変更点
Red Hat Enterprise Linux 6.5 では、カーネルが FIPS モードで動作するかどうかに関係なく、dracut-fips パッケージが存在すると整合性の検証が実行されます。Red Hat Enterprise Linux 6.5 FIPS 140-2 に準拠する方法は、以下のナレッジベースソリューションを参照してください。
OpenSSL がバージョン 1.0.1 に更新されました。
OpenSSL がアップストリームバージョン 1.0.1 にアップグレードされ、複数の新しい暗号化アルゴリズムのサポートと Transport Layer Security (TLS)プロトコルの新しいバージョン(1.1、1.2)のサポートが追加されました。
この更新により、GlusterFS での透過的な暗号化および認証サポートに必要な以下の暗号が追加されます。
- CMAC (暗号ベースの MAC)
- XTS (暗号文ありの XEX 微調整可能なブロック暗号)
- GCM (Galois/Counter Mode)
新しい追加対応アルゴリズムは、特に Elliptic Curve Diffie-Hellman (ECDH)、Elliptic Curve Digital Signature Algorithm (ECDSA)、および CBC-MAC モード(AES-CCM)を使用したカウンターでの Advanced Encryption Standard です。
OpenSSH でのスマートカードサポート
OpenSSH は、PKCS #11 規格に準拠するようになりました。これにより、OpenSSH が認証にスマートカードを使用できるようになります。
OpenSSL での ECDSA サポート
楕円曲線デジタル署名アルゴリズム(ECDSA)は、Elliptic Curve Cryptography (ECC)を使用するデジタル署名アルゴリズム(DSA)バリアントです。
nistp256 および nistp384 曲線のみがサポートされていることに注意してください。
OpenSSL での ECDHE サポート
一時的な楕円曲線 Diffie-Hellman (ECDHE)がサポートされています。これにより、計算要件が大幅に低い Perfect Forward Secrecy が可能になります。
OpenSSL および NSS での TLS 1.1 および 1.2 のサポート
OpenSSL および NSS が最新バージョンの Transport Layer Security (TLS)プロトコルをサポートするようになりました。これにより、ネットワーク接続のセキュリティーが強化され、他の TLS プロトコル実装との完全な相互運用性が可能になります。TLS プロトコルにより、クライアント/サーバーアプリケーションが、盗聴や改ざんを防ぐために設計された方法で、ネットワーク全体で通信できるようになります。
HMAC-SHA2 アルゴリズムの OpenSSH サポート
Red Hat Enterprise Linux 6.5 では、SHA-2 暗号ハッシュ関数を使用してハッシュメッセージ認証コード(MAC)を生成できるようになりました。これにより、OpenSSH でデータの整合性と検証が可能になります。
OpenSSL での Macro の接頭辞
openssl 仕様ファイルが接頭辞 macro を使用するようになりました。これにより、openssl パッケージを再構築して再配置できるようになりました。
NSA Suite B Cryptography のサポート
Suite B は、暗号化モード化プログラムの一部として、NSA によって指定された一連の暗号化アルゴリズムです。これは、非分類情報と最も分類されていない情報の両方の相互運用可能な暗号化ベースとして機能します。これには、以下が含まれます。
- キーサイズが 128 ビットおよび 256 ビットを持つ高度な暗号化標準(AES)。トラフィックフローについては、低帯域幅のトラフィックにはカウンターモード(CTR)、高帯域幅トラフィックと対称暗号化を行う動作の Galois/Counter Mode (GCM)のいずれかで AES を使用する必要があります。
- 楕円曲線デジタル署名アルゴリズム(ECDSA)デジタル署名。
- Elliptic Curve Diffie-Hellman (ECDH)キー合意。
- Secure Hash Algorithm 2 (SHA-256 および SHA-384)メッセージダイジェスト。
共通システム証明書
NSS、GnuTLS、OpenSSL、および Java が登録され、システムの証明書アンカーとブラックリスト情報を取得するデフォルトのソースを共有するように登録されました。これにより、証明書信頼決定のための入力として暗号ツールキットが使用する静的データのシステム全体のトラストストアが可能になります。証明書システムレベルの管理は使いやすさを支援し、ローカルシステム環境や企業のデプロイメントで必要となります。
/etc/passwd ファイルに保存されているローカルユーザーに含まれる LDAP グループ
SSSD が RFC 2307 スキーマを使用するよう設定され、中央の LDAP サーバーが、一元的に定義されたグループのメンバーとして
/etc/passwd ファイルのローカルユーザーをリストすると、オプションが有効になっている場合、SSSD はそのようなグループのローカルグループメンバーを適切に返します。
NSS での ECC サポート
Red Hat Enterprise Linux 6.5 の Network Security Services (NSS)独自の内部暗号化モジュールでは、Elliptic 曲線暗号(ECC)に推奨されるアルゴリズムの National Institute of Standards and Technology (NIST) Suite B セットをサポートするようになりました。
OpenSSH での証明書サポート
Red Hat Enterprise Linux 6.5 は、新しい OpenSSH 証明書形式を使用したユーザーとホストの証明書認証をサポートしています。証明書には、公開鍵、ID 情報、および有効制約が含まれ、ssh-keygen ユーティリティーを使用して標準の SSH 公開鍵で署名されます。Red Hat Enterprise Linux 6 に同梱される ssh-keygen では、プリンシパルの指定に the
-Z オプションが使用されることに注意してください。この機能の詳細は、/usr/share/doc/openssh-5.3p1/PROTOCOL.certkeys ファイルを参照してください。
