Chapitre 3. Sécurité

Dans Red Hat Enterprise Linux 6.5, la vérification d'intégrité est effectuée lorsque le paquetage dracut-fips est présent, que le noyau opère en mode FIPS ou non. Pour obtenir des informations détaillées sur la manière de rendre Red Hat Enterprise Linux 6.5 conforme à FIPS 140-2, veuillez consulter la solution suivante de la base des connaissances :

OpenSSL mis à jour à la version 1.0.1

Cette mise à jour ajoute les chiffrements suivants nécessaires à la prise en charge du chiffrement et de l'authentification dans GlusterFS :
  • CMAC (MAC basé sur chiffrement)
  • XTS (« XEX Tweakable Block Cipher with Ciphertext Stealing »)
  • GCM (« Galois/Counter Mode »)

Prise en charge Smartcard sur OpenSSH

OpenSSH est maintenant conforme avec le standard PKCS #11, ce qui permet à OpenSSH d'utiliser des smartcards pour l'authentification.

Prise en charge ECDSA dans OpenSSL

ECDSA (« Elliptic Curve Digital Signature Algorithm ») est une variante de DSA (« Digital Signature Algorithm »), qui utilise le chiffrement à courbe elliptique (« Elliptic Curve Cryptography »). Remarquez que seules les courbes nistp256 et nistp384 sont prises en charge.

Prise en charge ECDHE dans OpenSSL

ECDHE (« Ephemeral Elliptic Curve Diffie-Hellman ») est pris en charge, ce qui permet une confidentialité persistante (« Perfect Forward Secrecy ») avec des besoins de calcul moindres.

Prise en charge de TLS 1.1 et 1.2 dans OpenSSL et NSS

Désormais, OpenSSL et NSS prennent en charge les versions les plus récentes du protocole TLS (« Transport Layer Security »), ce qui améliore la sécurité des connexions réseau et active une interopérabilité complète avec les autres implémentations du protocole TLS. Le protocole TLS permet aux applications client-serveur de communiquer à travers un réseau de manière à empêcher toute écoute clandestine ou falsification.

Prise en charge OpenSSH de l'algorithme HMAC-SHA2

Dans Red Hat Enterprise Linux 6.5, la fonction de hachage du chiffrement SHA-2 peut maintenant être utilisée en produisant un code d'authentification de message (MAC) de hachage, ce qui permet de conserver l'intégrité et de vérifier des données dans OpenSSH.

Macro de préfixe dans OpenSSL

Le fichier de spécification openssl utilise maintenant la macro de préfixe, qui permet de recréer des paquetages openssl afin de les déplacer.

Prise en charge du chiffrement NSA Suite B

Suite B est un ensemble d'algorithme de chiffrement spécifiés par la NSA faisant partie du programme de modernisation de chiffrement (« Cryptographic Modernization Program »). Suite B sert en tant que base de chiffrement interopérable pour des informations classifiées et non-classifiées. Suite B inclut :
  • Le standard AES (« Advanced Encryption Standard ») avec des tailles de clé de 128 et 256 bits. Pour le flux de trafic, AES devrait être utilisé avec le mode CTR (« Counter Mode ») pour un trafic de bande passante basse ou le mode GCM (« Galois/Counter Mode ») des opérations pour un trafic de bande passante élevé et le chiffrement symétrique.
  • Signatures numériques ECDSA (« Elliptic Curve Digital Signature Algorithm »).
  • Accord clé ECDH (« Elliptic Curve Diffie-Hellman »).
  • Résumé du message « Secure Hash Algorithm 2 » (SHA-256 et SHA-384).

Certificats de systèmes partagés

NSS, GnuTLS, OpenSSL et Java ont été enrôlés pour partager une source par défaut pour récupérer les ancres des certificats de systèmes et mettre sur liste noire les informations pour mettre un stockage de données statiques de confiance globale utilisée par les toolkits crypto comme entrée pour les décisions de confiance de certificats. L'administration au niveau système des certificats aide à faciliter l'utilisation et est requise par les environnements des systèmes locaux et les déploiements d'entreprise.

Synchronisation automatique des utilisateurs locaux centralement dans la gestion d'identités

La synchronisation automatique des utilisateurs locaux centralement dans la gestion d'identités dans Red Hat Enterprise Linux 6.5 rend la gestion centrale des utilisateurs locaux plus facile.

Prise en charge ECC dans NSS

NSS (« Network Security Services ») dans Red Hat Enterprise Linux 6.5 prend maintenant en charge le chiffrement ECC (« Elliptic curve cryptography »).