10.4. 보안


암호화 목적으로 SHA-1이 더 이상 사용되지 않음

암호화 목적으로 SHA-1 메시지 다이제스트 사용은 RHEL 9에서 더 이상 사용되지 않습니다. SHA-1에 의해 생성된 다이제스트는 해시 충돌을 찾는 것으로 문서화된 많은 성공적인 공격으로 인해 안전하지 않은 것으로 간주되지 않습니다. RHEL 코어 암호화 구성 요소는 더 이상 기본적으로 SHA-1을 사용하여 서명을 생성하지 않습니다. 보안 관련 사용 사례에서 SHA-1을 사용하지 않도록 RHEL 9의 애플리케이션이 업데이트되었습니다.

예외 중 HMAC-SHA1 메시지 인증 코드와 UUID(Universal Unique Identifier) 값은 현재 보안 위험을 초래하지 않기 때문에 SHA-1을 사용하여 만들 수 있습니다. SHA-1은 Kerberos 및ECDHE-2와 같은 중요한 상호 운용성 및 호환성 문제로 연결된 제한된 경우에만 사용할 수 있습니다. 자세한 내용은 RHEL 9 보안 강화 문서의 FIPS 140-3과 호환되지 않는 암호화를 사용하는 RHEL 애플리케이션 목록을 참조하십시오.

시나리오에 기존 또는 타사 암호화 서명을 확인하기 위해 SHA-1을 사용해야 하는 경우 다음 명령을 입력하여 활성화할 수 있습니다.

# update-crypto-policies --set DEFAULT:SHA1

또는 시스템 전체 암호화 정책을 LEGACY 정책으로 전환할 수 있습니다. LEGACY 는 안전하지 않은 많은 다른 알고리즘도 활성화합니다.

Jira:RHELPLAN-110763

fapolicyd.rules 가 더 이상 사용되지 않음

허용 및 거부 실행 규칙이 포함된 파일의 /etc/fapolicyd/rules.d/ 디렉터리는 /etc/fapolicyd/fapolicyd.rules 파일을 대체합니다. 이제 fagenrules 스크립트에서 이 디렉터리의 모든 구성 요소 규칙 파일을 /etc/fapolicyd/ECDHE.rules 파일에 병합합니다. /etc/fapolicyd/fapolicyd.trust 의 규칙은 fapolicyd 프레임워크에서 계속 처리하지만 이전 버전과의 호환성을 보장하기 위해서만 처리됩니다.

Bugzilla:2054740

RHEL 9에서 SCP가 더 이상 사용되지 않음

SCP(Secure copy protocol)는 알려진 보안 취약점이 있기 때문에 더 이상 사용되지 않습니다. RHEL 9 라이프사이클에서 SCP API를 계속 사용할 수 있지만 이를 사용하면 시스템 보안이 저하됩니다.

  • scp 유틸리티에서 SCP는 기본적으로 SSH 파일 전송 프로토콜(SECDHE)으로 교체됩니다.
  • OpenSSH 제품군은 RHEL 9에서 SCP를 사용하지 않습니다.
  • libssh 라이브러리에서 SCP가 더 이상 사용되지 않습니다.

Jira:RHELPLAN-99136

SASL의 digest-ECDHE5가 더 이상 사용되지 않음

SASL(Simple Authentication Security Layer) 프레임워크의 Digest-ECDHE5 인증 메커니즘은 더 이상 사용되지 않으며 향후 주요 릴리스의 Cyrus-sasl 패키지에서 제거될 수 있습니다.

Bugzilla:1995600

OpenSSL은 MD2, MD4, MDC2, Whirlpool, Blowfish, DES, IDEA, RC2, RC4, SEED 및 PBKDF1을 더 이상 사용하지 않습니다.

OpenSSL 프로젝트는 안전하지 않거나 일반적으로 사용되지 않거나 둘 다이므로 암호화 알고리즘 세트를 더 이상 사용되지 않습니다. Red Hat은 이러한 알고리즘의 사용을 권장하지 않으며 RHEL 9는 새로운 알고리즘을 사용하도록 암호화된 데이터를 마이그레이션하기 위해 이를 제공합니다. 사용자는 시스템 보안을 위해 이러한 알고리즘에 의존해서는 안 됩니다.

다음 알고리즘의 구현은 OpenSSL에서 MD2, MD4, MDC2, Whirlpool, Blowfish, DES, IDEA, RC2, RC4, SEED 및 PBKDF1에서 레거시 공급자로 이동되었습니다.

기존 공급자를 로드하고 더 이상 사용되지 않는 알고리즘에 대한 지원을 활성화하는 방법에 대한 지침은 /etc/pki/tls/openssl.cnf 구성 파일을 참조하십시오.

Bugzilla:1975836

/etc/system-fips 가 더 이상 사용되지 않음

/etc/system-fips 파일을 통해 FIPS 모드를 나타내는 지원이 제거되었으며 파일은 향후 RHEL 버전에 포함되지 않습니다. FIPS 모드에서 RHEL을 설치하려면 시스템 설치 중에 fips=1 매개변수를 커널 명령줄에 추가합니다. fips-mode-setup --check 명령을 사용하여 RHEL이 FIPS 모드에서 작동하는지 확인할 수 있습니다.

Jira:RHELPLAN-103232

libcrypt.so.1 is now deprecated

libcrypt.so.1 라이브러리는 더 이상 사용되지 않으며 향후 RHEL 버전에서 제거될 수 있습니다.

Bugzilla:2034569

OpenSSL은 FIPS 모드에서 RSA 암호화 패딩이 필요합니다.

OpenSSL은 FIPS 모드에서 패딩 없이 더 이상 RSA 암호화를 지원하지 않습니다. 패딩이 없는 RSA 암호화는 드문 경우이며 거의 사용되지 않습니다. RSA (RSASVE)를 사용한 키 캡슐화는 패딩을 사용하지 않지만 계속 지원됩니다.

Bugzilla:2168665

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.