付録C RHEL 8 の暗号化キーの場所
Federal Information Processing Standard (FIPS) モードで実行されているシステムをアップグレードした後は、暗号化キーの再生成などを行い、すべての暗号化キーの FIPS 準拠を確認する必要があります。よく知られた暗号化キーの場所を次の表に示します。リストは完全ではないことに注意してください。他の場所も確認してください。
Application | キーの場所 | 注記 |
---|---|---|
Apache mod_ssl |
|
|
Bind9 RNDC |
|
|
Cyrus IMAPd |
|
|
DNSSEC-Trigger |
|
|
Dovecot |
|
|
OpenPegasus |
|
|
OpenSSH |
|
Ed25519 および DSA キーは FIPS に準拠していません。 |
postfix |
|
|
RHEL Web コンソール |
|
Web コンソールは |
Sendmail |
|
|
サードパーティー製アプリケーションの暗号化キーが FIPS に準拠していることを確認するには、それぞれのアプリケーションの対応するドキュメントを参照してください。また、以下に注意してください。
ポートを開くサービスが、TLS 証明書を使用する場合があります。
- すべてのサービスが暗号化キーを自動的に生成するわけではありませんが、自動的に起動する多くのサービスはデフォルトで自動生成します。
- NSS、GnuTLS、OpenSSL、libgcrypt などの暗号化ライブラリーを使用するサービスにも注意してください。
- バックアップ、ディスク暗号化、ファイル暗号化、および同様のアプリケーションも確認してください。
RHEL 8 の FIPS モードは DSA キー、DH パラメーター、1024 ビットより短い RSA キー、およびその他のいくつかの暗号を制限するため、古い暗号化キーは RHEL 7 からのアップグレード後に機能しなくなります。詳細は、「RHEL 8 の導入における検討事項」ドキュメントの コア暗号化コンポーネントの変更点 セクションと、RHEL 8「セキュリティーの強化」ドキュメントの システム全体の暗号化ポリシーの使用 の章を参照してください。
関連情報
- RHEL 8 セキュリティーの強化ドキュメントの FIPS モードへのシステムの切り替え
-
システム上の
update-crypto-policies (8)
およびfips-mode-setup (8) の
man ページ