8.2. セキュリティー

脆弱性スキャンアプリケーションにおける OVAL の廃止

OpenSCAP スイートによって処理される宣言型セキュリティーデータを提供する Open Vulnerability Assessment Language (OVAL) データ形式は非推奨であり、将来のメジャーリリースで削除される予定です。Red Hat は、OVAL の後継である Common Security Advisory Framework (CSAF) 形式で宣言型セキュリティーデータを引き続き提供します。

libgcrypt が非推奨となる

libgcrypt パッケージによって提供される Libgcrypt 暗号化ライブラリーは非推奨であり、将来のメジャーリリースで削除される可能性があります。代わりに、RHEL コア暗号化コンポーネントの 記事 (Red Hat ナレッジベース) に記載されているライブラリーを使用してください。

DSA および SEED アルゴリズムが NSS で非推奨となる

DSA 署名アルゴリズムは NIST によって作成され、現在は NIST によって完全に非推奨となっており、ネットワークセキュリティーサービス (NSS) 暗号化ライブラリーでも非推奨となっています。代わりに、RSA、ECDSA、SLH-DSA、ML-DSA、FN-DSA などのアルゴリズムを使用することもできます。

引数なしでの update-ca-trust の使用が非推奨となる

以前は、コマンド update-ca-trust は、 入力された引数に関係なく、システム認証局 (CA) ストアを更新していました。この更新では、CA ストアを更新するための extract サブコマンドが導入されました。--output 引数を使用して、CA 証明書を抽出する場所を指定することもできます。以前のバージョンの RHEL との互換性のため、-o または --help 以外の引数を指定して、あるいは引数を指定せずに update-ca-trust を 入力して CA ストアを更新することは、RHEL 9 の期間中は引き続きサポートされますが、次のメジャーリリースでは削除されます。update-ca-trust extract への呼び出しを更新します。

Stunnel クライアントの信頼されたルート証明書ファイルを指す CAfile が非推奨となる

Stunnel がクライアントモードで設定されている場合、CAfile ディレクティブは、BEGIN TRUSTED CERTIFICATE 形式の信頼されたルート証明書を含むファイルを指すことができます。このメソッドは非推奨となり、今後のメジャーバージョンで削除される可能性があります。将来のバージョンでは、stunnel は、 BEGIN TRUSTED CERTIFICATE 形式をサポートしていない関数に CAfile ディレクティブの値を渡します。したがって、CAfile =/etc/pki/tls/certs/ca-bundle.trust.crt を使用する場合は、場所を CAfile =/etc/pki/tls/certs/ca-bundle.crt に変更します。

DSA および SEED アルゴリズムが NSS で非推奨となる

デジタル署名アルゴリズム (DSA) は、米国 National Institute of Standards and Technology (NIST) によって作成され、現在は NIST によって完全に非推奨となっており、ネットワークセキュリティーサービス (NSS) 暗号化ライブラリーでも非推奨となっています。代わりに、RSA、ECDSA、SHB-DSA、ML-DSA、FN-DSA などのアルゴリズムを使用することもできます。

pam_ssh_agent_auth が非推奨に

pam_ssh_agent_auth パッケージは非推奨であり、将来のメジャーリリースで削除される可能性があります。

OpenSSL の SHA-1 で SECLEVEL=2 が非推奨となる

SECLEVEL=2 での SHA-1 アルゴリズムの使用は OpenSSL では非推奨であり、将来のメジャーリリースで削除される可能性があります。

OpenSSL ENGINE API が Stunnel で非推奨となる

Stunnel での OpenSSL ENGINE API の使用は非推奨であり、将来のメジャーリリースで削除される予定です。最も一般的な用途は、openssl-pkcs11 パッケージを通じて PKCS#11 を使用するハードウェアセキュリティートークンにアクセスすることです。代わりに、新しい OpenSSL プロバイダー API を使用する pkcs11-provider を 使用できます。

OpenSSL エンジンは非推奨です

OpenSSL エンジンは非推奨であり、近い将来に削除される予定です。エンジンを使用する代わりに、pkcs11-provider を 代わりに使用できます。

oscap-anaconda-addon が非推奨に

oscap-anaconda-addon パッケージは非推奨となり、今後のメジャーリリースで削除される予定です。

scap-workbench が非推奨になる

scap-workbench パッケージが非推奨となり、今後のメジャーリリースで削除される予定です。

scap-workbench が非推奨になる

scap-workbench パッケージが非推奨となるscap-workbench グラフィカルユーティリティーは、単一のローカルシステムまたはリモートシステム上で設定および脆弱性スキャンを実行するように設計されています。代わりに、oscap コマンドを使用してローカルシステムの設定コンプライアンスをスキャンし、oscap-ssh コマンドを使用してリモートシステムをスキャンすることもできます。詳細は、設定コンプライアンススキャン を参照してください。

oscap-anaconda-addon が非推奨に

グラフィカルインストールを使用してベースライン準拠の RHEL システムをデプロイする手段を提供していた oscap-anaconda-addon が非推奨となりました。代わりに、RHEL Image Builder OpenSCAP 統合を使用して事前に強化されたイメージを作成する ことで、特定の標準に準拠した RHEL イメージを構築できます。

SHA-1 は暗号化の目的で非推奨になる

暗号化を目的とした SHA-1 メッセージダイジェストの使用は、RHEL 9 では非推奨になりました。SHA-1 によって生成されたダイジェストは、ハッシュ衝突の検出に基づく多くの攻撃の成功例が記録化されているため、セキュアであるとは見なされません。RHEL コア暗号コンポーネントは、デフォルトで SHA-1 を使用して署名を作成しなくなりました。RHEL 9 のアプリケーションが更新され、セキュリティー関連のユースケースで SHA-1 が使用されないようになりました。

fapolicyd.rules が非推奨になる

実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trust のルールは引き続き fapolicyd フレームワークによって処理されますが、下位互換性を確保するためのみに使用されます。

RHEL 9 で SCP が非推奨になる

SCP (Secure Copy Protocol) には既知のセキュリティー脆弱性があるため、非推奨となりました。SCP API は RHEL 9 ライフサイクルで引き続き利用できますが、システムセキュリティーが低下します。

OpenSSL では、FIPS モードでの RSA 暗号化にパディングが必要です。

OpenSSL は、FIPS モードでのパディングなしの RSA 暗号化をサポートしなくなりました。パディングを使用しない RSA 暗号化は一般的ではないため、ほとんど使用されません。RSA (RSASVE) によるキーのカプセル化はパディングを使用しませんが、引き続きサポートされていることに注意してください。

OpenSSL で Engines API が非推奨になる

OpenSSL 3.0 TLS ツールキットでは、Engines API が非推奨になりました。エンジンインターフェイスはプロバイダー API に置き換えられました。アプリケーションと既存のエンジンのプロバイダーへの移行が進行中です。非推奨の Engines API は、今後のメジャーリリースで削除される可能性があります。

openssl-pkcs11 が非推奨になる

非推奨になった OpenSSL エンジンのプロバイダー API への継続的な移行の一環として、pkcs11-provider パッケージが openssl-pkcs11 パッケージ (engine_pkcs11) を置き換えます。openssl-pkcs11 パッケージは非推奨になりました。openssl-pkcs11 パッケージは、今後のメジャーリリースで削除される可能性があります。

RHEL 8 および 9 OpenSSL 証明書および署名コンテナーが非推奨になる

Red Hat Ecosystem Catalog の ubi8/openssl および ubi9/openssl リポジトリーで利用可能な OpenSSL ポータブル証明書および署名コンテナーは、需要が低いため非推奨になりました。

SASL の Digest-MD5 が非推奨になる

SASL (Simple Authentication Security Layer) フレームワークの Digest-MD5 認証メカニズムは非推奨になり、将来バージョンのメジャーリリースでは cyrus-sasl パッケージから削除される可能性あり

OpenSSL は、MD2、MD4、MDC2、Whirlpool、Blowfish、CAST、DES、IDEA、RC2、RC4、RC5、SEED、および PBKDF1 を非推奨にします。

OpenSSL プロジェクトは、セキュアではない、一般的ではない、またはその両方であるという理由で、一連の暗号アルゴリズムを非推奨にしました。Red Hat もそれらのアルゴリズムの使用を推奨せず、RHEL 9 では、新しいアルゴリズムを使用するために暗号化されたデータを移行するためにそれらを提供しています。ユーザーは、自分のシステムのセキュリティーのためにこれらのアルゴリズムに依存してはいけません。

/etc/system-fips が非推奨に

/etc/system-fips ファイルで FIPS モードが削除されることを示すサポートにより、ファイルは今後の RHEL バージョンに含まれなくなります。FIPS モードで RHEL をインストールするには、システムのインストール時に fips=1 パラメーターをカーネルコマンドラインに追加します。fips-mode-setup --check コマンドを使用して、RHEL が FIPS モードで動作しているかどうかを確認できます。

libcrypt.so.1 が非推奨に

libcrypt.so.1 ライブラリーは現在非推奨であり、RHEL の将来のバージョンで削除される可能性があります。