2.5. 使用与 FIPS 140-3 不兼容的加密的 RHEL 应用程序列表
要传递所有相关加密认证,如 FIPS 140-3,请使用核心加密组件集中的库。除 libgcrypt
外,这些库也会遵循 RHEL 系统范围的加密策略。
如需了解核心加密组件的概述、有关如何选择它们的信息、它们如何集成到操作系统中、它们如何支持硬件安全模块和智能卡,以及如何对它们应用加密认证,请参阅 RHEL 核心加密组件 。
使用与 FIPS 140-3 不兼容的加密的 RHEL 9 应用程序列表
- Bacula
- 实施 CRAM-MD5 身份验证协议。
- Cyrus SASL
- 使用 SCRAM-SHA-1 身份验证方法。
- Dovecot
- 使用 SCRAM-SHA-1。
- Emacs
- 使用 SCRAM-SHA-1。
- FreeRADIUS
- 使用 MD5 和 SHA-1 进行身份验证协议。
- Ghostscript
- 自定义加密实现(MD5、RC4、SHA-2、AES)来加密和解密文档
- GRUB
-
支持需要 SHA-1 的传统固件协议,并包含
libgcrypt
库。 - iPXE
- 实施 TLS 堆栈。
- Kerberos
- 保留对 SHA-1 的支持(与 Windows 互操作性)。
- Lasso
-
lasso_wsse_username_token_derive_key()
KDF(key derivation function)使用 SHA-1。 - MariaDB、MariaDB Connector
-
mysql_native_password
身份验证插件使用 SHA-1。 - MySQL
-
mysql_native_password
使用 SHA-1。 - OpenIPMI
- RAKP-HMAC-MD5 验证方法没有被 FIPS 批准使用,且不适用于 FIPS 模式。
- Ovmf(UEFI 固件)、Edk2、shim
- 全加密堆栈(OpenSSL 库的嵌入式副本)。
- Perl
- 使用 HMAC, HMAC-SHA1, HMAC-MD5, SHA-1, SHA-224,…
- Pidgin
- 实现 DES 和 RC4 密码。
- PKCS #12 文件处理 (OpenSSL、GnuTLS、NSS、Firefox、Java)
- PKCS #12 的所有用法都不兼容 FIPS,因为用于计算整个文件 HMAC 的 Key Derivation Function (KDF) 都不是 FIPS。因此,PKP #12 文件被视为纯文本,用于 FIPS 合规性。对于 key-transport 的目的,使用 FIPS 批准的加密方案嵌套 PKCS #12 (.p12) 文件。
- Poppler
- 如果原始 PDF 中存在这些算法(例如 MD5、RC4 和 SHA-1),则可使用签名、密码和加密保存 PDF。
- PostgreSQL
- 实现 Blowfish、DES 和 MD5。KDF 使用 SHA-1。
- QAT Engine
- 加密原语的混合硬件和软件实现(RSA、EC、DH、AES、…)
- Ruby
- 提供不安全的 MD5 和 SHA-1 库函数。
- Samba
- 保留对 RC4 和 DES 的支持(与 Windows 互操作性)。
- Syslinux
- BIOS 密码使用 SHA-1。
- SWTPM
- 在 OpenSSL 用法中明确禁用 FIPS 模式。
- Unbound
- DNS 规范要求 DNSSEC 解析器使用 DNSKEY 记录中的 SHA-1-based 算法进行验证。
- Valgrind
- AES、SHA 哈希。[1]
- zip
- 自定义加密实现(不安全的 PKWARE 加密算法),以使用密码加密和解密存档。
其他资源
- 合规活动和政府标准 知识库文章中的FIPS 140-2 和 FIPS 140-3 部分
- RHEL 核心加密组件 知识库文章