4.10. セキュリティー

NSS が RSASSA-PSS に制限のある鍵に対応

Network Security Services(NSS)ライブラリーが、付録 - Probabilistic Signature Scheme(RSASSA-PSS)で Rivest-Shamir-Adleman 署名スキームに制限のある鍵に対応するようになりました。従来の署名スキーム(Public Key Cryptography Standard #1(PKCS#1)v1.5)では、データや鍵の暗号化に鍵を再利用できます。これにより、Bleichenbacher が公開する署名作成攻撃に対して鍵が脆弱になります。鍵を RSASSA-PSS アルゴリズムに制限すると、復号化を使用する攻撃に回復性を持たせることができます。

今回の更新で、RSASSA-PSS アルゴリズムのみに制限されている鍵に対応するように NSS を設定できるようになりました。これにより、TLS 1.2 および 1.3 のサーバー認証とクライアント認証の両方に X.509 証明書に含まれるこのような鍵を使用できます。

(BZ#1431241)

NSS は、PKCS#1 v1.5 DigestInfo に正しく含まれる場合にのみ NULL オブジェクトのある署名を受け入れるようになりました。

PKCS#1 v1.5 互換署名の最初の仕様は、2 つの異なる方法で解釈できるテキストを使用していました。署名側によって暗号化されるパラメーターのエンコーディングには、NULL ASN.1 オブジェクトのエンコーディングが含まれるか、または省略することができます。標準リビジョンの後のバージョンでは、NULL オブジェクトエンコーディングを明示的に含めることが要件になりました。

以前のバージョンの Network Security Service(NSS)は、いずれかのエンコーディングの許可時に署名の検証を試行しました。このバージョンでは、NSS は、PKSC#1 v1.5 署名に DigestInfo 構造に NULL オブジェクトを正しく含める場合にのみ署名を受け入れます。

この変更は、PKCS#1 v1.5 に準拠していない署名の作成を継続する実装との相互運用性に影響します。

(BZ#1552854)

opensc が HID Crescendo 144K スマートカードに対応

今回の機能拡張により、OpenSC は HID Crescendo 144K スマートカードに対応するようになりました。これらのトークンは、Common Access Card(CAC)仕様と完全に互換性がありません。また、トークンは、政府が発行する CAC トークンよりも詳細にわたる部分を使用します。OpenSC ドライバーは、HID Crescendo 144K スマートカードに対応する CAC 仕様のトークンと特別なケースを管理するように強化されました。

(BZ#1612372)

FIPS モードの OpenSSH で AES-GCM 暗号化が有効になっている

以前は、AES-GCM 暗号は TLS でのみ FIPS モードで許可されていました。現在のバージョンでは、これらの暗号は OpenSSH で許可および認定できる NIST で明確になっています。

これにより、FIPS モードで実行する OpenSSH で AES-GCM 暗号化が許可されます。

(BZ#1600869)

SCAP セキュリティーガイド が Universal Base Image に対応

SCAP Security Guide のセキュリティーポリシーが拡張され、ubi-minimal イメージを含む Universal Base Image(UBI)コンテナーおよび UBI イメージに対応するようになりました。これにより、atomic scan コマンドを使用した UBI コンテナーおよびイメージの設定コンプライアンススキャンが可能になります。UBI コンテナーおよびイメージは、SCAP セキュリティーガイド に同梱されているプロファイルに対してスキャンできます。UBI のセキュアな設定に関連するルールのみが評価され、誤検出が回避され、関連する結果が生成されます。UBI イメージおよびコンテナーには該当しないルールは自動的に省略されます。

(BZ#1695213)

scap-security-guide がバージョン 0.1.43 にリベースされました。

scap-security-guide パッケージがアップストリームバージョン 0.1.43 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点:

  • サポートされる Ansible の最小バージョンが 2.5 に変更
  • 新しい RHEL7 プロファイル: VPP - Protection Profile for Virtualization v.1.0 for Red Hat Enterprise Linux Hypervisor (RHELH)

(BZ#1684545)

tangd_port_t で Tang のデフォルトポートの変更が可能に

今回の更新で、SELinux Enforcing モードで制限のある tangd サービスの実行を可能にする SELinux タイプ tangd_port_t が追加されました。この変更により、Tang サーバーを設定してユーザー定義のポートをリッスンするのを簡素化し、SELinux が提供するセキュリティーレベルを Enforcing モードで維持します。

(BZ#1650909)

新しい SELinux のタイプ: boltd_t

新しい SELinux のタイプ boltd_t は、Thunderbolt 3 デバイスのマッピングにシステムデーモン boltd を制限します。その結果、boltd が SELinux 強制モードの制限付きサービスとして実行されるようになりました。

(BZ#1589086)

新しい SELinux ポリシークラス: bpf

新しい SELinux ポリシークラス bpf が導入されました。bpf クラスを使用すると、ユーザーは SElinux を介して Berkeley Packet Filter (BPF) フローを制御できます。また、Extended Berkeley Packet Filter (eBPF) プログラムと、SELinux が制御するマップの検査と簡単な操作が可能になります。

(BZ#1626115)

shadow-utils がバージョン 4.6 にリベースされました。

shadow-utils パッケージがアップストリームバージョン 4.6 にアップグレードされ、UID と GID の名前空間マッピングを操作する、特に 新しいuidmap コマンドおよび newgidmap コマンドなど、バグ修正や機能強化が数多く追加されました。

(BZ#1498628)