3장. 보안
FIPS 140-2 인증에 관련된 변경 사항
Red Hat Enterprise Linux 6.5에서 커널이 FIPS 모드에서 작동하는지 여부와 관계없이 dracut-fips 패키지가 있는 경우 무결성 확인이 수행됩니다. Red Hat Enterprise Linux 6.5 FIPS 140-2 준수 방법에 대한 자세한 내용은 다음 기술 자료 솔루션을 참조하십시오.
OpenSSL이 버전 1.0.1로 업데이트됨
OpenSSL이 업스트림 버전 1.0.1로 업그레이드되어 여러 개의 새로운 암호화 알고리즘 및 TLS(Transport Layer Security) 프로토콜의 새 버전(1.1, 1.2)에 대한 지원을 추가했습니다.
이번 업데이트에서는 GlusterFS에서 투명한 암호화 및 인증 지원에 필요한 다음 암호가 추가되었습니다.
- CMAC (Cipher-based MAC)
- XTS (XEX Tweakable Block Cipher with Ciphertext Stealing)
- Cryostat (Galois/Counter Mode)
새로운 추가 지원되는 알고리즘은 특히 ECDH(Eleiptic Curve Digital Signature Algorithm) 및 CBC-MAC 모드(AES-CCM)를 사용하는 Cryostat의 고급 암호화 표준입니다.
OpenSSH에서 스마트 카드 지원
OpenSSH는 이제 OpenSSH가 인증에 스마트 카드를 사용할 수 있는 PKCS #11 표준을 준수합니다.
OpenSSL에서 ECDSA 지원
ECDSA(elliptic Curve Digital Signature Algorithm)는 ECC(Elliptic Curve Cryptography)를 사용하는 DSA(Digital Signature Algorithm)의 변형입니다.
nistp256 및 nistp384 곡선만 지원됩니다.
OpenSSL에서 ECDHE 지원
ephemeral Elliptic Curve Diffie-Hellman (ECDHE)이 지원되므로 훨씬 낮은 컴퓨팅 요구 사항으로 Perfect Forward Secrecy를 사용할 수 있습니다.
OpenSSL 및 NSS에서 TLS 1.1 및 1.2 지원
OpenSSL 및 NSS는 이제 최신 버전의 TLS(Transport Layer Security) 프로토콜을 지원하므로 네트워크 연결의 보안이 향상되고 다른 TLS 프로토콜 구현과의 완전한 상호 운용성이 가능합니다. TLS 프로토콜을 사용하면 클라이언트-서버 애플리케이션이 도청 및 변조를 방지하기 위해 설계된 방식으로 네트워크를 통해 통신할 수 있습니다.
HMAC-SHA2 알고리즘의 OpenSSH 지원
Red Hat Enterprise Linux 6.5에서 SHA-2 암호화 해시 함수를 사용하여 OpenSSH에서 데이터 무결성 및 확인을 활성화하는 해시 메시지 인증 코드(MAC)를 생성할 수 있습니다.
OpenSSL의 Macro 접두사
이제 openssl 사양 파일에서 접두사 매크로를 사용하므로 openssl 패키지를 재배치할 수 있습니다.
Cryostat Suite B 암호화 지원
Suite B는 Cryptographic Modernization 프로그램의 일부로 Cryostat에 의해 지정된 암호화 알고리즘 세트입니다. 분류되지 않은 정보와 가장 분류된 정보 모두에 대해 상호 운용 가능한 암호화 기반 역할을 합니다. 여기에는 다음이 포함됩니다.
- 키 크기가 128비트 및 256비트인 AES(Advanced Encryption Standard)입니다. 트래픽 흐름의 경우 AES는 대역폭 트래픽 및 대칭 암호화를 위한 낮은 대역폭 트래픽 또는 Galois/Counter Mode(GCM)의 경우 CTR(CTR)과 함께 사용해야 합니다.
- ECDSA(elliptic Curve Digital Signature Algorithm) 디지털 서명.
- ECDH(elliptic Curve Diffie-Hellman) 주요 계약.
- 보안 해시 알고리즘 2(SHA-256 및 SHA-384) 메시지 다이제스트입니다.
공유 시스템 인증서
NSS, GnuTLS, OpenSSL 및 Java는 시스템 인증서 앵커 및 블랙리스트 정보를 검색하기 위한 기본 소스를 공유하여 암호화 툴킷에서 인증서 신뢰 결정을 위한 입력으로 사용되는 정적 데이터의 시스템 전체 신뢰 저장소를 활성화할 수 있습니다. 시스템 수준 인증서 관리는 쉽게 사용할 수 있도록 지원하며 로컬 시스템 환경 및 회사 배포에서 필요합니다.
LDAP 그룹은 /etc/passwd 파일에 저장된 로컬 사용자를 통합할 수 없습니다.
SSSD가 RFC 2307 스키마를 사용하도록 구성되어 있고 중앙 LDAP 서버에서 중앙에 정의된 그룹의 멤버로
/etc/passwd 파일의 로컬 사용자를 나열하는 경우 SSSD는 옵션이 활성화된 경우 해당 그룹의 로컬 그룹 멤버를 올바르게 반환합니다.
NSS에서 ECC 지원
Red Hat Enterprise Linux 6.5의 NSS(Network Security Services) 자체 암호화 모듈은 이제 ECC(Elliptic curve Encryption)에 권장되는 NIST(National Institute of Standards and Technology) Suite B 세트를 지원합니다.
OpenSSH에서 인증서 지원
Red Hat Enterprise Linux 6.5는 새로운 OpenSSH 인증서 형식을 사용하여 사용자 및 호스트의 인증서 인증을 지원합니다. 인증서에는 공개 키, ID 정보 및 유효 제약 조건이 포함되어 있으며 ssh-keygen 유틸리티를 사용하여 표준 SSH 공개 키로 서명됩니다. Red Hat Enterprise Linux 6과 함께 제공되는 ssh-keygen 에서는
-Z 옵션이 보안 주체를 지정하는 데 사용됩니다. 이 기능에 대한 자세한 내용은 /usr/share/doc/openssh-5.3p1/PROTOCOL.certkeys 파일을 참조하십시오.
