3.7. 시스템 전체 암호화 정책을 사용자 지정하여 SHA-1 비활성화
SHA-1 해시 함수에는 본질적으로 약한 디자인이 있으며 발전된 암호화 기능이 공격에 취약하기 때문에 RHEL 8은 기본적으로 SHA-1을 사용하지 않습니다. 하지만 일부 타사 애플리케이션(예: 공개 서명)은 여전히 SHA-1을 사용합니다. 시스템의 서명 알고리즘에서 SHA-1 사용을 비활성화하려면 NO-SHA1 정책 모듈을 사용할 수 있습니다.
NO-SHA1 정책 모듈은 다른 위치에서는 서명에서만 SHA-1 해시 기능을 비활성화합니다. 특히 NO-SHA1 모듈은 여전히 SHA-1과 해시 기반 메시지 인증 코드(HMAC)를 사용할 수 있습니다. 이는 HMAC 보안 속성이 해당 해시 기능의 충돌 내성에 의존하지 않으므로 SHA-1에 대한 최근 공격으로 SHA-1의 SHA-1 사용에 미치는 영향이 크게 낮기 때문입니다.
시나리오에 특정 키 교환(KEX) 알고리즘 조합(예: diffie-hellman-group-exchange-sha1 )을 비활성화해야 하지만 관련 KEX 및 다른 조합의 알고리즘을 모두 사용하려는 경우 SSH에서 diffie-hellman-group-group1-sha1 알고리즘을 비활성화하여 SSH에서 직접 SSH를 구성하는 단계를 참조하십시오.
SHA-1을 비활성화하는 모듈은 RHEL 8.3에서 사용할 수 있습니다. RHEL 8.2에서는 시스템 전체 암호화 정책의 사용자 지정을 사용할 수 있습니다.
절차
DEFAULT시스템 전체 암호화 정책 수준에 정책 조정을 적용합니다.# update-crypto-policies --set DEFAULT:NO-SHA1이미 실행 중인 서비스 및 애플리케이션에 암호화 설정을 적용하려면 시스템을 다시 시작하십시오.
# reboot
추가 리소스
-
시스템의
update-crypto-policies(8)도움말 페이지의Custom Policies섹션 -
시스템의
crypto-policies(7)도움말 페이지의암호화 정책 정의 형식섹션 - RHEL Red Hat 블로그 문서에서 암호화 정책을 사용자 지정하는 방법.
