10.4. 보안
암호화 목적으로 SHA-1이 더 이상 사용되지 않음
암호화 목적으로 SHA-1 메시지 다이제스트 사용은 RHEL 9에서 더 이상 사용되지 않습니다. SHA-1에 의해 생성된 다이제스트는 해시 충돌을 찾는 것으로 문서화된 많은 성공적인 공격으로 인해 안전하지 않은 것으로 간주되지 않습니다. RHEL 코어 암호화 구성 요소는 더 이상 기본적으로 SHA-1을 사용하여 서명을 생성하지 않습니다. 보안 관련 사용 사례에서 SHA-1을 사용하지 않도록 RHEL 9의 애플리케이션이 업데이트되었습니다.
예외 중 HMAC-SHA1 메시지 인증 코드와 UUID(Universal Unique Identifier) 값은 현재 보안 위험을 초래하지 않기 때문에 SHA-1을 사용하여 만들 수 있습니다. SHA-1은 Kerberos 및ECDHE-2와 같은 중요한 상호 운용성 및 호환성 문제로 연결된 제한된 경우에만 사용할 수 있습니다. 자세한 내용은 RHEL 9 보안 강화 문서의 FIPS 140-3과 호환되지 않는 암호화를 사용하는 RHEL 애플리케이션 목록을 참조하십시오.
시나리오에 기존 또는 타사 암호화 서명을 확인하기 위해 SHA-1을 사용해야 하는 경우 다음 명령을 입력하여 활성화할 수 있습니다.
# update-crypto-policies --set DEFAULT:SHA1
또는 시스템 전체 암호화 정책을 LEGACY
정책으로 전환할 수 있습니다. LEGACY
는 안전하지 않은 많은 다른 알고리즘도 활성화합니다.
Jira:RHELPLAN-110763
fapolicyd.rules
가 더 이상 사용되지 않음
허용 및 거부 실행 규칙이 포함된 파일의 /etc/fapolicyd/rules.d/
디렉터리는 /etc/fapolicyd/fapolicyd.rules
파일을 대체합니다. 이제 fagenrules
스크립트에서 이 디렉터리의 모든 구성 요소 규칙 파일을 /etc/fapolicyd/ECDHE.rules
파일에 병합합니다. /etc/fapolicyd/fapolicyd.trust
의 규칙은 fapolicyd
프레임워크에서 계속 처리하지만 이전 버전과의 호환성을 보장하기 위해서만 처리됩니다.
RHEL 9에서 SCP가 더 이상 사용되지 않음
SCP(Secure copy protocol)는 알려진 보안 취약점이 있기 때문에 더 이상 사용되지 않습니다. RHEL 9 라이프사이클에서 SCP API를 계속 사용할 수 있지만 이를 사용하면 시스템 보안이 저하됩니다.
-
scp
유틸리티에서 SCP는 기본적으로 SSH 파일 전송 프로토콜(SECDHE)으로 교체됩니다. - OpenSSH 제품군은 RHEL 9에서 SCP를 사용하지 않습니다.
-
libssh
라이브러리에서 SCP가 더 이상 사용되지 않습니다.
Jira:RHELPLAN-99136
SASL의 digest-ECDHE5가 더 이상 사용되지 않음
SASL(Simple Authentication Security Layer) 프레임워크의 Digest-ECDHE5 인증 메커니즘은 더 이상 사용되지 않으며 향후 주요 릴리스의 Cyrus-sasl
패키지에서 제거될 수 있습니다.
Bugzilla:1995600
OpenSSL은 MD2, MD4, MDC2, Whirlpool, Blowfish, DES, IDEA, RC2, RC4, SEED 및 PBKDF1을 더 이상 사용하지 않습니다.
OpenSSL 프로젝트는 안전하지 않거나 일반적으로 사용되지 않거나 둘 다이므로 암호화 알고리즘 세트를 더 이상 사용되지 않습니다. Red Hat은 이러한 알고리즘의 사용을 권장하지 않으며 RHEL 9는 새로운 알고리즘을 사용하도록 암호화된 데이터를 마이그레이션하기 위해 이를 제공합니다. 사용자는 시스템 보안을 위해 이러한 알고리즘에 의존해서는 안 됩니다.
다음 알고리즘의 구현은 OpenSSL에서 MD2, MD4, MDC2, Whirlpool, Blowfish, DES, IDEA, RC2, RC4, SEED 및 PBKDF1에서 레거시 공급자로 이동되었습니다.
기존 공급자를 로드하고 더 이상 사용되지 않는 알고리즘에 대한 지원을 활성화하는 방법에 대한 지침은 /etc/pki/tls/openssl.cnf
구성 파일을 참조하십시오.
/etc/system-fips
가 더 이상 사용되지 않음
/etc/system-fips
파일을 통해 FIPS 모드를 나타내는 지원이 제거되었으며 파일은 향후 RHEL 버전에 포함되지 않습니다. FIPS 모드에서 RHEL을 설치하려면 시스템 설치 중에 fips=1
매개변수를 커널 명령줄에 추가합니다. fips-mode-setup --check
명령을 사용하여 RHEL이 FIPS 모드에서 작동하는지 확인할 수 있습니다.
Jira:RHELPLAN-103232
libcrypt.so.1
is now deprecated
libcrypt.so.1
라이브러리는 더 이상 사용되지 않으며 향후 RHEL 버전에서 제거될 수 있습니다.
OpenSSL은 FIPS 모드에서 RSA 암호화 패딩이 필요합니다.
OpenSSL은 FIPS 모드에서 패딩 없이 더 이상 RSA 암호화를 지원하지 않습니다. 패딩이 없는 RSA 암호화는 드문 경우이며 거의 사용되지 않습니다. RSA (RSASVE)를 사용한 키 캡슐화는 패딩을 사용하지 않지만 계속 지원됩니다.