4.10. 安全性

NSS 现在支持仅限于 RSASSA-PSS 的密钥

网络安全服务(NSS)库现在支持仅限于 Rivest-Shamir-Adleman Signature Scheme 的密钥，并附带附录 - Probabilistic Signature Scheme (RSASSA-PSS)。传统的签名方案（公共密钥加密标准 Cryptography Standard1141）(PKCS1141) v1.5 允许重复使用密钥来加密数据或密钥。这使得这些密钥容易被签名以为 Bleichenbacher 发布的攻击。将密钥限制为 RSASSA-PSS 算法使其可以灵活应对利用解密的攻击。

现在，只有在 PKCS#1 v1.5 DigestInfo 中正确包含 NULL 对象时，NSS 才会接受带有 NULL 对象的签名

PKCS#1 v1.5 签名的第一个规格使用的文本，可以通过两种不同的方式来解释。由签名人加密的参数编码可以包含 NULL ASN.1 对象的编码或省略它。之后对标准进行修订要求明确包含 NULL 对象编码。

OpenSC 支持 HID Crescendo 144K 智能卡

在这个版本中，OpenSC 支持 HID Crescendo 144K 智能卡。这些令牌与通用访问卡 (CAC) 规范不完全兼容。令牌也使用规范中的一些更高级部分，而不是由政府发布的 CAC 令牌。OpenSC 驱动程序已被改进，以管理这些令牌和 CAC 规范的特例，以支持 HID Crescendo 144K 智能卡。

AES-GCM 密码在 OpenSSH 中的 FIPS 模式中启用

在以前的版本中，只有 TLS 中的 FIPS 模式允许 AES-GCM 密码。在当前版本中，我们通过 NIST 转向可以在 OpenSSH 中允许和认证这些密码。

SCAP 安全指南支持通用基础镜像

SCAP 安全指南 安全策略已被改进，以支持通用基础镜像(UBI)容器和 UBI 镜像，包括 ubi-minimal 镜像。这可让使用 atomic 扫描 命令对 UBI 容器和镜像的配置合规性扫描。UBI 容器和镜像可以根据 SCAP 安全指南中附带的任何配置集进行扫描。仅评估与 UBI 安全配置相关的规则，这样可防止假正状态并产生相关结果。不适用于 UBI 镜像和容器的规则会被自动跳过。

scap-security-guide rebase 到版本 0.1.43

scap-security-guide 软件包已升级到上游版本 0.1.43，它提供很多程序错误修复和增强，特别是：

tangd_port_t 允许更改 Tang 的默认端口

在这个版本中引进了 tangd_port_t SELinux 类型，允许 tangd 服务作为 SELinux 强制模式限制运行。这一更改有助于简化将 Tang 服务器配置为侦听用户定义的端口，同时还会将 SELinux 提供的安全级别保持在 enforcing 模式。

新的 SELinux 类型：bo ltd_t

新的 SELinux 类型 boltd_t，限制了 boltd，这是用于管理 Thunderbolt 3 设备的系统守护进程。因此，bo ltd 现在在 SELinux enforcing 模式下作为受限服务运行。

新的 SELinux 策略类： bpf

引入了一个新的 SELinux 策略类 bpf。bpf 类允许用户通过 SElinux 控制 Berkeley Packet Filter (BPF)流，并允许检查和简单操作扩展 Berkeley Packet Filter (eBPF)程序以及 SELinux 控制的映射。

shadow-utils rebase 到版本 4.6

shadow-utils 软件包已升级到上游版本 4.6，它比之前的版本提供了很多程序错误修复和增强，特别是用于操作 UID 和 GID 命名空间映射的 newuidmap 和 newgidmap 命令。