4.10. 安全性


NSS 现在支持仅限于 RSASSA-PSS 的密钥

网络安全服务(NSS)库现在支持仅限于 Rivest-Shamir-Adleman Signature Scheme 的密钥,并附带附录 - Probabilistic Signature Scheme (RSASSA-PSS)。传统的签名方案(公共密钥加密标准 Cryptography Standard1141)(PKCS1141) v1.5 允许重复使用密钥来加密数据或密钥。这使得这些密钥容易被签名以为 Bleichenbacher 发布的攻击。将密钥限制为 RSASSA-PSS 算法使其可以灵活应对利用解密的攻击。

在这个版本中,可将 NSS 配置为支持仅限于 RSASSA-PSS 算法的密钥。这可实现将 X.509 证书中包含的这些密钥用于 TLS 1.2 和 1.3 中的服务器和客户端身份验证。

(BZ#1431241)

现在,只有在 PKCS#1 v1.5 DigestInfo 中正确包含 NULL 对象时,NSS 才会接受带有 NULL 对象的签名

PKCS#1 v1.5 签名的第一个规格使用的文本,可以通过两种不同的方式来解释。由签名人加密的参数编码可以包含 NULL ASN.1 对象的编码或省略它。之后对标准进行修订要求明确包含 NULL 对象编码。

早期版本的网络安全服务(NSS)在允许任一编码的同时尝试验证签名。在这个版本中,只有在 NSS 在 PKSC#1 v1.5 签名中正确包含 DigestInfo 结构中的 NULL 对象时才接受签名。

这个改变会影响与继续创建不兼容 PKCS#1 v1.5 的签名的实现的互操作性。

(BZ#1552854)

OpenSC 支持 HID Crescendo 144K 智能卡

在这个版本中,OpenSC 支持 HID Crescendo 144K 智能卡。这些令牌与通用访问卡 (CAC) 规范不完全兼容。令牌也使用规范中的一些更高级部分,而不是由政府发布的 CAC 令牌。OpenSC 驱动程序已被改进,以管理这些令牌和 CAC 规范的特例,以支持 HID Crescendo 144K 智能卡。

(BZ#1612372)

AES-GCM 密码在 OpenSSH 中的 FIPS 模式中启用

在以前的版本中,只有 TLS 中的 FIPS 模式允许 AES-GCM 密码。在当前版本中,我们通过 NIST 转向可以在 OpenSSH 中允许和认证这些密码。

因此,在以 FIPS 模式运行的 OpenSSH 中允许 AES-GCM 密码。

(BZ#1600869)

SCAP 安全指南支持通用基础镜像

SCAP 安全指南 安全策略已被改进,以支持通用基础镜像(UBI)容器和 UBI 镜像,包括 ubi-minimal 镜像。这可让使用 atomic 扫描 命令对 UBI 容器和镜像的配置合规性扫描。UBI 容器和镜像可以根据 SCAP 安全指南中附带的任何配置集进行扫描。仅评估与 UBI 安全配置相关的规则,这样可防止假正状态并产生相关结果。不适用于 UBI 镜像和容器的规则会被自动跳过。

(BZ#1695213)

scap-security-guide rebase 到版本 0.1.43

scap-security-guide 软件包已升级到上游版本 0.1.43,它提供很多程序错误修复和增强,特别是:

  • 最低 Ansible 版本更改为 2.5
  • 新的 RHEL7 配置集:VPP - 虚拟化保护配置文件 v.1.0 for Red Hat Enterprise Linux Hypervisor (RHELH)

(BZ#1684545)

tangd_port_t 允许更改 Tang 的默认端口

在这个版本中引进了 tangd_port_t SELinux 类型,允许 tangd 服务作为 SELinux 强制模式限制运行。这一更改有助于简化将 Tang 服务器配置为侦听用户定义的端口,同时还会将 SELinux 提供的安全级别保持在 enforcing 模式。

(BZ#1650909)

新的 SELinux 类型:bo ltd_t

新的 SELinux 类型 boltd_t,限制了 boltd,这是用于管理 Thunderbolt 3 设备的系统守护进程。因此,bo ltd 现在在 SELinux enforcing 模式下作为受限服务运行。

(BZ#1589086)

新的 SELinux 策略类: bpf

引入了一个新的 SELinux 策略类 bpfbpf 类允许用户通过 SElinux 控制 Berkeley Packet Filter (BPF)流,并允许检查和简单操作扩展 Berkeley Packet Filter (eBPF)程序以及 SELinux 控制的映射。

(BZ#1626115)

shadow-utils rebase 到版本 4.6

shadow-utils 软件包已升级到上游版本 4.6,它比之前的版本提供了很多程序错误修复和增强,特别是用于操作 UID 和 GID 命名空间映射的 newuidmapnewgidmap 命令。

(BZ#1498628)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.