第34章 セキュリティー

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行中の usbguard-daemon インスタンスが新たに挿入された USB デバイスをどのように処理するかをコントロールすることができます。この機能はテクノロジープレビューとして提供され、デフォルトでは、デバイスを認証するかどうかを判断するためのポリシールールが適用されます。
詳細については、ナレッジベースの記事「Blocking USB devices while the screen is locked (Tech Preview)」を参照してください。

pk12utilRSA-PSS で署名された証明書をインポート可能に

pk12util ツールは、テクノロジープレビューとして RSA-PSS アルゴリズムで署名された証明書のインポートに対応するようになりました。
対応する秘密鍵がインポートされ、署名アルゴリズムを RSA-PSS に限定する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合、鍵をブラウザーにインポートする際に無視されます。詳細については、「export of RSA-PSS key to PKCS#12 drops the RSA-PSS identifier」を参照してください。(BZ#1431210)

certutil において RSA-PSS で署名された証明書のサポートが改善

certutil ツールにおいて RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
  • --pss オプションが文書化されました。
  • PKCS#1 v1.5 アルゴリズムは、証明書が RSA-PSS を使用するように制限されたときに、自己署名を使用しなくなりました。
  • 証明書の一覧を表示するときに、subjectPublicKeyInfo フィールドの RSA-PSS パラメーターが空の場合は出力されなくなりました。
  • RSA-PSS アルゴリズムで署名された正規の RSA 証明書を作成する --pss-sign オプションが追加されました。
テクノロジープレビューとして、certutil において RSA-PSS で署名された証明書のサポートが提供されるようになりました。(BZ#1425514)

NSS が証明書の RSA-PSS 署名を確認可能に

新しいバージョンの nss パッケージでは、Network Security Services (NSS) ライブラリーが証明書の RSA-PSS 署名を確認する機能をテクノロジープレビューとして提供するようになりました。以前のバージョンでは、クライアントが NSSSSL バックエンドとして使用している場合は、RSA-PSS アルゴリズムで署名される証明書だけを提供するサーバーへの TLS 接続を確立できませんでした。
この機能には、以下の制限があります。
  • /etc/pki/nss-legacy/rhel7.config ファイルにおけるアルゴリズムポリシー設定は、RSA-PSS 署名に使用されるハッシュアルゴリズムには適用されません。
  • 証明書チェーン間の RSA-PSS パラメーターの制限は無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)

libreswan で SECCOMP の有効化が可能に

テクノロジープレビューとして ipsec.conf 設定ファイルに seccomp=enabled|tolerant|disabled オプションが 追加され、Secure Computing モード (SECCOMP) を使用できるようになりました。これにより、Libreswan が実行可能なすべてのシステムコールがホワイトリストに追加され、syscall のセキュリティーが強化されます。詳しい情報は ipsec.conf(5) man ページを参照してください。(BZ#1375750)