4.10. セキュリティー
NSS が RSASSA-PSS に制限されている鍵に対応
Network Security Services (NSS) ライブラリーは、付録 Probabilistic Signature Scheme (RSASSA-PSS) を使用した Rivest-Shamir-Adleman 署名スキームに制限された鍵をサポートするようになりました。従来の署名スキームである Public Key Cryptography Standard #1 (PKCS#1) v1.5 では、データまたは鍵の暗号化に鍵を再利用できます。これにより、これらの鍵は Bleichenbacher によって公開される攻撃の署名に対して脆弱になります。鍵を RSASSA-PSS アルゴリズムに制限すると、復号化を利用する攻撃に回復性を持たせることができます。
今回の更新で、NSS は、RSASSA-PSS アルゴリズムのみに制限されている鍵に対応するように設定できます。これにより、TLS 1.2 および 1.3 のサーバーとクライアント認証の両方に X.509 証明書に含まれる鍵を使用できるようになります。
NSS が PKCS#1 v1.5 DigestInfo に正しく含まれる場合にのみ NULL オブジェクトを使用した署名を受け入れるようになりました。
PKCS#1 v1.5 互換署名の最初の仕様では、2 つの異なる方法で解釈できるテキストを使用していました。署名者が暗号化するパラメーターのエンコーディングには、NULL ASN.1 オブジェクトのエンコーディングを含めるか、省略できます。標準の後のリビジョンでは、NULL オブジェクトエンコーディングを明示的に含める必要がありました。
以前のバージョンの Network Security Service (NSS) は、いずれかのエンコーディングを許可している間に署名を検証しようとしました。このバージョンでは、NSS は、PKSC#1 v1.5 署名の DigestInfo 構造体に NULL オブジェクトを正しく含める場合にのみ署名を受け入れます。
この変更は、PKCS#1 v1.5 に準拠していない署名の作成を継続する実装との相互運用性に影響します。
(BZ#1552854)
opensc が HID Crescendo 144K スマートカードに対応
今回の機能強化により、OpenSC は HID Crescendo 144K スマートカードをサポートするようになりました。これらのトークンは、Common Access Card (CAC) 仕様と完全に互換性がありません。また、このトークンは、政府が発行する CAC トークンよりも、仕様の高度な部分を使用します。OpenSC ドライバーは、HID Crescendo 144K スマートカードをサポートするために、これらのトークンと特別なケースを管理するように強化されました。
(BZ#1612372)
FIPS モードの OpenSSH で AES-GCM 暗号が有効になっている
以前は、AES-GCM 暗号は TLS でのみ FIPS モードで許可されていました。現在のバージョンでは、OpenSSH でもこれらの暗号を許可および認定できることを NIST で明確化しました。
これにより、FIPS モードで実行している OpenSSH で AES-GCM 暗号が許可されます。
(BZ#1600869)
SCAP セキュリティーガイド が Universal Base Image に対応
SCAP セキュリティーガイド のセキュリティーポリシーが強化され、ubi-minimal イメージを含む Universal Base Image (UBI)コンテナーおよび UBI イメージがサポートされるようになりました。これにより、atomic scan コマンドを使用した UBI コンテナーおよびイメージの設定コンプライアンススキャンが可能になります。UBI コンテナーおよびイメージは、SCAP セキュリティーガイド で同梱されているプロファイルに対してスキャンできます。UBI のセキュアな設定に関連するルールのみが評価されます。これにより、誤検出が回避され、関連する結果が生成されます。UBI イメージおよびコンテナーには該当しないルールは自動的にスキップされます。
(BZ#1695213)
scap-security-guide がバージョン 0.1.43 にリベース
scap-security-guide パッケージがアップストリームバージョン 0.1.43 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に次のような機能が追加されています。
- サポートされる最小限の Ansible バージョンが 2.5 に変更されました。
- 新しい RHEL7 プロファイル: VPP - Protection Profile for Virtualization v.1.0 for Red Hat Enterprise Linux Hypervisor (RHELH)
tangd_port_t で Tang のデフォルトポートの変更が可能に
今回の更新で、SELinux Enforcing モードで制限のある tangd サービスの実行を可能にする SELinux タイプ tangd_port_t が追加されました。この変更により、Tang サーバーを設定してユーザー定義のポートをリッスンするのを簡素化し、SELinux が提供するセキュリティーレベルを Enforcing モードで維持します。
新しい SELinux のタイプ: boltd_t
新しい SELinux のタイプ boltd_t は、Thunderbolt 3 デバイスのマッピングにシステムデーモン boltd を制限します。その結果、boltd が SELinux 強制モードの制限付きサービスとして実行されるようになりました。
新しい SELinux ポリシークラス: bpf
新しい SELinux ポリシークラス bpf が導入されました。bpf クラスを使用すると、ユーザーは SElinux を介して Berkeley Packet Filter (BPF) フローを制御できます。また、Extended Berkeley Packet Filter (eBPF) プログラムと、SELinux が制御するマップの検査と簡単な操作が可能になります。
(BZ#1626115)
shadow-utils がバージョン 4.6 にリベース
shadow-utils パッケージがアップストリームバージョン 4.6 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。特に、UID および GID 名前空間のマッピングを操作する newuidmap および newgidmap コマンド)。
