Capítulo 3. Segurança
Mudanças Relacionadas à Certificação FIPS 140-2
Em Red Hat Enterprise Linux 6.5, a verificação de integridade é realizada quando o pacote dracut-fips estiver presente, não importando se o kernel operar em modo FIPS ou não. Para mais informações detalhadas sobre como tornar o Red Hat Enterprise Linux 6.5 FIPS 140-2 de acordo, consulte a seguinte Solução de Base de Conhecimento:
OpenSSL Atualizada para a Versão 1.0.1
Esta atualização adiciona as seguintes cifras necessárias para a criptografia transparente e o suporte de autenticação no GlusterFS:
- CMAC (MAC baseado em Cifras)
- XTS (Cifra de Bloqueio Ajustável XEX com o Roubo do Ciphertext)
- GCM (Galois/Modo Counter)
Suporte de Smartcard no OpenSSH
O OpenSSH agora está de acordo com o padrão PKCS #11, o qual permite que o OpenSSH utilize o smartcards para autenticação.
Suporte de ECDSA no OpenSSL
Elliptic Curve Digital Signature Algorithm (ECDSA) é uma variante da Digital Signature Algorithm (DSA) que utiliza o Elliptic Curve Cryptography (ECC). Note que somente as curvas de
nistp256 e nistp384 são suportadas.
Suporte de ECDHE no OpenSSL
Ephemeral Elliptic Curve Diffie-Hellman (ECDHE) é suportado, o que permite o PFS (Perfect Forward Secrecy) tenha muito menos requerimentos computacionais.
Suporte de TLS 1.1 e 1.2 em OpenSSL e NSS
O OpenSSL e NSS agora suportam as versões mais recentes do protocolo de Transport Layer Security (TLS), que aumenta a segurança de conexões de rede e habilita interoperabilidade total com outras implementações de protocolos de TLS. O protocolo de TLS permite aplicações de cliente-servidor para comunicar com as redes de forma designada para prevenir bisbilhotagem e falsificação.
Suporte do OpenSSH do Algorítimo do HMAC-SHA2
Em Red Hat Enterprise Linux 6.5, a função SHA-2 cryptographic hash pode agora ser utilizada para produzir um código de autenticação de mensagem de hash (MAC), que habilita integridade de verificação de dados no OpenSSH.
prefixo Macro no OpenSSL
O arquivo spec do openssl agora utiliza o prefixo macro, que permite reconstruir os pacotes do openssl para relocá-los.
Suporte de Criptografia do NSA Suite B
Suite B é um conjunto de algorítimos criptográficos especificados pelo NSA como parte de seu Programa de Modernização Criptográfica. Ele serve como uma base criptográfica interoperável para ambas informações não classificadas e a maioria das informações classificadas. Ele inclui:
- Advanced Encryption Standard (AES) com os tamanhos de chaves de 128 e 256 bits. Para fluxo de tráfego, o AES deveria ser utilizado com o Modo Counter (CTR) para um tráfego de baixa largura de banda ou Galois/Counter Mode (GCM) de operações para tráfego de alta largura de banda e criptografia assimétrica.
- Elliptic Curve Digital Signature Algorithm (ECDSA) assinaturas digitais.
- Elliptic Curve Diffie-Hellman (ECDH) acordo de chave.
- Algorítimo de Hash Seguro 2 (SHA-256 e SHA-384) digestão de mensagens.
Certificados de Sistemas Compartilhados.
NSS, GnuTLS, OpenSSL e Java foram listados para compartilhar a fonte padrão para recuperar as âncoras de certificado de sistema e colocar informações em lista negra para habilitar um armazenamento de confiança em todo o sistema de dados estáticos que é utilizado pelos kits de ferramentas de cripto como entrada para decisões de confiança de certificado. A administração de nível de sistema ajuda a facilitar e é requerida pelos ambientes de sistema local e implantações corporativas.
Sincronização automática de Usuários Locais Centralmente em Gerenciamento de Identidade
Sincronização Automática de Usuários Locais em Gerenciamento de Identidade Central em Red Hat Enterprise Linux 6.5 torna o gerenciamento local de usuários centralmente mais fácil.
Suporte de ECC no NSS
Network Security Services (NSS) no Red Hat Enterprise Linux 6.5 agora suporta a Elliptic curve cryptography (ECC).
