10.2. 安全性

sq 无法在 FIPS 模式中生成密钥

Sequoia PGP toolset 中的 sq 实用程序使用已弃用的 OpenSSL API 进行密钥生成。因此，您不能在以 FIPS 模式运行的系统上的 sq 生成密钥。

更新 NSS 数据库密码会破坏 ML-DSA seed

生成 ML-DSA 密钥以 seed 开头，这足以派生该密钥。但是，也可以扩展密钥来加快后续操作。如果您在 NSS 数据库中有 ML-DSA 密钥，要么生成或导入，则扩展格式和 seed 可能存储。由于 NSS 如何处理数据库重新加密，如果更改了数据库密码，则不会更新 seed 属性来容纳新密码，并且其值将永久丢失，即使了解之前的密码也是如此。

rpm-sequoia 的 PQC 始终在 crypto-policies中启用

在 RHEL 10.1 中，如果系统范围的加密策略中禁用了用于签名的算法之一，rpm-sequoia 无法验证双签名的 RPM 软件包。这个问题在禁用 post-quantum (PQ)算法的系统中很常见，且无法安装使用经典和 PQ 加密签名的软件包。

四个 libvirt 服务的 SELinux 策略规则暂时改为 permissive 模式

在以前的版本中，SELinux 策略被修改，来反映使用一组新的模块守护进程来替换旧的单片 libvirtd 守护进程。因为这个更改需要测试很多场景，所以以下服务已被临时改为 SELinux permissive 模式：

加密令牌无法在 FIPS 模式下与 pkcs11-provider 一起工作

当系统在 FIPS 模式下运行时，pkcs11-provider OpenSSL 提供者无法正常工作，OpenSSL TLS 工具包返回到默认提供者。因此，OpenSSL 无法加载 PKCS #11 密钥，加密令牌无法在此场景中正常工作。