第 3 章 安全性
有关 FIPS 140-2 证书的更改
在 Red Hat Enterprise Linux 6.5 中,会在有 dracut-fips 软件包时执行整合性验证,无论内核是否采用 FIPS 模式进行操作。有关如何使 Red Hat Enterprise Linux 6.5 FIPS 140-2 合规的详情请参考以下知识库解决方案:
将 OpenSSL 更新至版本 1.0.1
这个更新添加了以下 GlusterFS 中用于透明加密和认证支持的密码:
- CMAC (基于密码的 MAC)
- XTS(采用密码点问失窃的 XEX 可调分组密码)
- GCM(Galois / 计数器模式)
OpenSSH 中的智能卡支持
OpenSSH 现在使用 PKCS #11 标准,该标准可以让 OpenSSH 使用智能卡进行认证。
OpenSSL 中的 ECDSA 支持
椭圆曲线数字签名算法(ECDSA)是一个数字签名算法(DSA)的变体,该方法可以使用椭圆曲线加密法(ECC)。注:只支持
nistp256 和 nistp384 曲线。
OpenSSL 中的 ECDHE 支持
支持临时椭圆曲线加密协议(ECDHE),这样可以在减少计算要求的同时提供完美转送保密。
在 OpenSSL 和 NSS 中支持 TLS 1.1 和 1.2
OpenSSL 和 NSS 现在支持最新版本的传输层安全(TLS)协议,这样可以提高网络连接的安全性,并启用与其他 TLS 协议部署之间的全面互操作性。该 TLS 协议可允许客户端-服务器程序跨网络进行沟通,并可防止窃听和破坏。
HMAC-SHA2 算法的 OpenSSH 支持
在 Red Hat Enterprise Linux 6.5 中,SHA-2 加密法哈希功能现在可以用来生成哈希信息认证代码(MAC),该功能可以在 OpenSSH 中启用数据完整性和验证。
OpenSSL 中的前缀宏
openssl 说明文件现使用前缀宏,它可以允许重新构建 openssl 软件包以便为其重新定位。
NSA 套件 B 加密法支持
套件 B 是一组 NSA 指定的加密算法,是其加密法现代化进程的一部分。它提供一个非保密信息以及绝密信息之间可以互操作的加密法。它包括:
- 密钥大小为 128 和 256 字节的高级加密标准(AES)。在流量控制中,应在低带宽流量中使用计数器模式(CTR),在高带宽流量和对称加密中使用 Galois / 计数器模式(GCM)。
- 椭圆曲线数字签名算法(ECDSA)数字签名。
- 椭圆曲线密钥交换协议(ECDH)。
- 安全哈希算法 2(SHA-256 和 SHA-384)信息摘要。
共享的系统证书
已将 NSS、GnuGLS、OpenSSL 和 Java 列为共享默认源,用来检索系统证书标记文本以及黑名单信息,以便在系统范围内建立加密工具使用的静态数据的可信存储,作为确定证书是否可信时的输入信息。证书的系统级管理可帮助方便使用,同时在本地系统环境和企业部署时也需要这些信息。
身份管理中的本地用户集中自动同步
Red Hat Enterprise Linux 6.5 中的身份管理本地用户集中自动同步可集中地轻松管理本地用户。
NSS 指定 ECC 支持
Red Hat Enterprise Linux 6.5 中的网络安全服务现在支持椭圆曲线加密法(ECC)。
