第 3 章 安全性
与 FIPS 140-2 认证相关的更改
在 Red Hat Enterprise Linux 6.5 中,当存在 dracut-fips 软件包时,无论内核是否以 FIPS 模式运行,都会执行完整性检查。有关如何使 Red Hat Enterprise Linux 6.5 FIPS 140-2 兼容的详情,请查看以下知识库解决方案:
OpenSSL 更新至版本 1.0.1
OpenSSL 已升级到上游版本 1.0.1,来添加对多个新加密算法的支持,并支持传输层安全(TLS)协议的新版本(1.1, 1.2)。
在这个版本中,在 GlusterFS 中添加了以下密码用于透明加密和身份验证支持:
- CMAC (基于 Cipher 的 MAC)
- XTS (使用 Ciphertext Stealing 的 XEX Tweakable Block Cipher)
- GCM (Galois/Counter 模式)
新的额外支持的算法包括 Elliptic curve Diffie-Hellman (ECDH)、Eliptic Curve Digital Signature Algorithm (ECDSA)和具有 CBC-MAC 模式(AES-CCM)的高级加密标准。
OpenSSH 中的智能卡支持
OpenSSH 现在与 PKCS modprobe 标准兼容,它允许 OpenSSH 使用智能卡进行身份验证。
OpenSSL 中的 ECDSA 支持
Elliptic Curve Digital Signature Algorithm (ECDSA)是数字签名算法(DSA)的变体,它使用 Elliptic Curve Cryptography (ECC)。请注意,只支持
nistp256 和 nistp384 curves。
OpenSSL 中的 ECDHE 支持
支持临时 Elliptic Curve Diffie-Hellman (ECDHE),它允许以较低的计算要求为 Perfect Forward Secrecy。
在 OpenSSL 和 NSS 中支持 TLS 1.1 和 1.2
OpenSSL 和 NSS 现在支持最新版本的传输层安全(TLS)协议,这提高了网络连接的安全性,并启用与其他 TLS 协议实现的完整互操作性。TLS 协议允许客户端-服务器应用程序以一种方式在网络上进行通信,以防止窃听和篡改。
OpenSSH 支持 HMAC-SHA2 算法
在 Red Hat Enterprise Linux 6.5 中,SHA-2 加密哈希功能现在可用于生成哈希消息身份验证代码(MAC),它在 OpenSSH 中启用数据完整性和验证。
OpenSSL 中的前缀 Macro
openssl spec 文件现在使用前缀宏,它允许重建 openssl 软件包以便重新定位它们。
NSA 套件 B Cryptography 支持
Suite B 是由 NSA 指定的一组加密算法,作为其 Cryptographic Modernization Program 的一部分。它充当一个可互操作性的加密基础,用于未分类的信息和大多数分类的信息。它包括:
- 高级加密标准(AES),密钥大小为 128 和 256 位。对于流量流,AES 应该用于低带宽流量(CTR),或者用于高带宽流量和对称加密的操作 Galois/Counter Mode (GCM)。
- Elliptic Curve Digital Signature Algorithm (ECDSA)数字签名.
- Elliptic Curve Diffie-Hellman (ECDH)密钥协议.
- 安全散列算法 2 (SHA-256 和 SHA-384)消息摘要.
共享的系统证书
NSS、GnuTLS、OpenSSL 和 Java 已列出用于检索系统证书定位符和黑名单信息的默认源,以启用由加密工具包用作证书信任决策输入的静态数据的系统范围信任存储。证书系统级别的管理有助于轻松使用,受到本地系统环境和企业部署所必需的。
LDAP 组代表要包含在 /etc/passwd 文件中存储的本地用户
如果 SSSD 配置为使用 RFC 2307 模式,并且中央 LDAP 服务器将
/etc/passwd 文件中的本地用户列为集中定义的组的成员,那么 SSSD 会在启用该选项时正确返回这些组的成员。
NSS 中的 ECC 支持
Red Hat Enterprise Linux 6.5 中的网络安全服务(NSS)自己的内部加密模块现在支持美国标准与技术研究院(NIST) Suite B 组用于 Elliptic curve 加密(ECC)。
OpenSSH 中的证书支持
Red Hat Enterprise Linux 6.5 支持使用新的 OpenSSH 证书格式对用户和主机的证书验证。证书包含公钥、身份信息和有效期限制,并使用 ssh-keygen 工具使用标准 SSH 公钥进行签名。请注意,在 Red Hat Enterprise Linux 6 附带的 ssh-keygen 中,
-Z 选项用于指定主体。有关此功能的更多信息,请参阅 /usr/share/doc/openssh-5.3p1/PROTOCOL.certkeys 文件。
