4.10. 보안
NSS에서 RSASSA-PSS로 제한된 키 지원
NSS(Network Security Services) 라이브러리에서는 부록을 사용하여 Rivest-Shamir-Adleman Signature Scheme으로 제한된 키를 지원합니다. -RSASSA-PSS. 기존 서명 방식인 공개 키 암호화 표준 #1 (PKCS#1) v1.5은 데이터 또는 키를 암호화하기 위해 키를 재사용 할 수 있습니다. 이로 인해 이러한 키는 Bleichenbacher에서 게시한 공격 적용에 취약해집니다. 키를 RSASSA-PSS 알고리즘으로 제한하면 암호 해독을 사용하는 공격에 탄력적으로 대처할 수 있습니다.
이번 업데이트를 통해 RSASSA-PSS 알고리즘으로만 제한된 키를 지원하도록 NSS를 구성할 수 있습니다. 이를 통해 TLS 1.2 및 1.3에서 서버 및 클라이언트 인증에 X.509 인증서에 포함된 이러한 키를 사용할 수 있습니다.
NSS에서 PKCS#1 v1.5 DigestInfo에 올바르게 포함된 경우에만 NULL 개체의 서명을 수락
PKCS#1 v1.5 호환 서명의 첫 번째 사양은 두 가지 방법으로 해석될 수 있는 텍스트를 사용했습니다. 서명자에 의해 암호화된 매개 변수의 인코딩에는 NULL ASN.1 개체의 인코딩 또는 생략이 포함될 수 있습니다. 이후 버전의 표준에서는 NULL 개체 인코딩을 명시적으로 포함해야 했습니다.
이전 버전의 NSS(Network Security Service)는 인코딩을 허용하는 동안 서명을 확인하려고 했습니다. 이 버전에서는 NSS가 PKSC#1 v1.5 서명에 DigestInfo 구조에 NULL 개체를 올바르게 포함하는 경우에만 서명을 허용합니다.
이러한 변경은 PKCS#1 v1.5를 준수하지 않는 서명을 계속 생성하는 구현과의 상호 운용성에 영향을 미칩니다.
(BZ#1552854)
OpenSC는 HID Crescendo 144K 스마트 카드를 지원합니다.
이번 개선된 기능을 통해 OpenSC는 HID Crescendo 144K 스마트 카드를 지원합니다. 이러한 토큰은 CAC(Common Access Card) 사양과 완전히 호환되지 않습니다. 토큰은 또한 정부에서 발행한 CAC 토큰보다 사양의 몇 가지 고급 부분을 사용합니다. 이러한 토큰과 CAC 사양의 특별한 케이스를 관리하여 HID Crescendo 144K 스마트 카드를 지원하도록 OpenSC 드라이버가 향상되었습니다.
(BZ#1612372)
AES-GCM 암호는 FIPS 모드 OpenSSH 에서 활성화됨
이전에는 AES-GCM 암호화가 TLS에서만 FIPS 모드에서 허용되었습니다. 현재 버전에서는 NIST에 이러한 암호가 OpenSSH 에서도 허용 및 인증될 수 있음을 명확히 했습니다.
결과적으로 FIPS 모드에서 실행되는 OpenSSH 에서 AES-GCM 암호가 허용됩니다.
(BZ#1600869)
SCAP 보안 가이드에서 Universal Base Image 지원
UBI(Universal Base Image) 컨테이너 및 UBI 이미지를 지원하도록 SCAP 보안 가이드 보안 정책이 향상되었습니다. 이를 통해 atomic scan 명령을 사용하여 UBI 컨테이너 및 이미지의 구성 준수 검사를 수행할 수 있습니다. UBI 컨테이너 및 이미지는 SCAP 보안 가이드로 제공되는 모든 프로필에 대해 스캔할 수 있습니다. UBI의 보안 구성과 관련된 규칙만 평가되므로 잘못된 긍정을 방지하고 관련 결과를 생성합니다. UBI 이미지 및 컨테이너에 적용되지 않는 규칙은 자동으로 건너뜁니다.
(BZ#1695213)
scap-security-guide 가 버전 0.1.43으로 다시 적용
scap-security-guide 패키지는 업스트림 버전 0.1.43로 업그레이드되어 이전 버전에 대한 여러 버그 수정 및 개선 사항을 제공합니다.
- 지원되는 최소 Ansible 버전이 2.5로 변경되었습니다.
- 새로운 RHEL7 프로파일: VPP - Protection Profile for Virtualization v. 1.0 for Red Hat Enterprise Linux Hypervisor (RHELH)
ovnd_port_t 를 사용하면 Tang의 기본 포트를 변경할 수 있습니다.
이번 업데이트에서는 SELinux 강제 모드로 enforcing d 서비스를 제한된 대로 실행할 수 있는ovn SELinux 유형이 도입되었습니다. 이러한 변경 사항은 사용자 정의 포트에서 수신 대기하도록 Tang 서버 구성을 단순화하는 데 도움이 되며 강제 모드에서 SELinux에서 제공하는 보안 수준을 유지하는 데 도움이 됩니다.
d _port_t
새로운 SELinux 유형: boltd_t
새로운 SELinux 유형 boltd_t 는 Thunderbolt 3 장치를 관리하기 위한 시스템 데몬인 boltd 를 제한합니다. 결과적으로 boltd 는 이제 SELinux 강제 모드에서 제한된 서비스로 실행됩니다.
새로운 SELinux 정책 클래스: bpf
새로운 SELinux 정책 클래스인 bpf 가 도입되었습니다. bpf 클래스를 사용하면 SElinux를 통해 BPF(Berkeley Packet Filter) 흐름을 제어할 수 있으며, eBPF(Extended Berkeley Packet Filter) 프로그램과 SELinux에서 제어하는 맵의 검사 및 간단한 조작이 가능합니다.
(BZ#1626115)
version 4.6에 대한 shadow-utils 재기반
shadow-utils 패키지가 업스트림 버전 4.6으로 업그레이드되어 이전 버전에 대한 여러 버그 수정 및 개선 사항, 특히 UID 및 GID 네임스페이스 매핑을 조작하기 위한 newuidmap 및 newgidmap 명령을 제공합니다.
