3.6. FIPS 140-3 に準拠していない暗号化を使用している RHEL アプリケーションのリスト
Red Hat は、FIPS 140-3 などの関連する暗号化認定をすべて渡し、RHEL システム全体の暗号化ポリシーに従うことが保証されているため、Red Hat は、コア暗号化コンポーネントからライブラリーを使用することを推奨します。
コア暗号化コンポーネントの概要、そのコンポーネントの選択方法、オペレーティングシステムへの統合方法、ハードウェアセキュリティーモジュールおよびスマートカードのサポート方法、暗号化による認定の適用方法の概要は、RHEL コア暗号化コンポーネント を参照してください。
表3.1 FIPS 140-3 に準拠していない暗号化を使用している RHEL 8 アプリケーションのリスト
| アプリケーション | Details |
|---|---|
| Bacula | CRAM-MD5 認証プロトコルを実装します。 |
| Cyrus SASL | SCRAM-SHA-1 認証方式を使用します。 |
| Dovecot | SCRAM-SHA-1 を使用します。 |
| Emacs | SCRAM-SHA-1 を使用します。 |
| FreeRADIUS | 認証プロトコルに MD5 および SHA-1 を使用します。 |
| Ghostscript | ドキュメントを暗号化および復号化するためのカスタムの cryptogtaphy 実装 (MD5、RC4、SHA-2、AES) |
| GRUB2 |
SHA-1 を必要とするレガシーファームウェアプロトコルをサポートし、 |
| ipxe | TLS スタックを実装します。 |
| Kerberos | SHA-1 (Windows との相互運用性) のサポートを維持します。 |
| lasso |
|
| MariaDB、MariaDB コネクター |
|
| MySQL |
|
| OpenIPMI | RAKP-HMAC-MD5 認証方式は、FIPS の使用が承認されておらず、FIPS モードでは機能しません。 |
| OVMF (UEFI ファームウェア)、Edk2、shim | 完全な暗号スタック (OpenSSL ライブラリーの埋め込みコピー) |
| perl-CPAN | MD5 認証をダイジェストします。 |
| perl-Digest-HMAC、perl-Digest-SHA | HMAC、HMAC-SHA1、HMAC-MD5、SHA-1、SHA-224 などを使用します。 |
| perl-Mail-DKIM | Signer クラスは、デフォルトで RSA-SHA1 アルゴリズムを使用します。 |
| PKCS #12 ファイル処理 (OpenSSL、GnuTLS、NSS、Firefox、Java) | ファイル全体の HMAC の計算に使用されるキー派生関数 (KDF) が FIPS で承認されていないため、PKCS #12 のすべての使用は FIPS に準拠していません。そのため、PKCS #12 ファイルは、FIPS 準拠のためにプレーンテキストと見なされます。キー転送の目的で、FIPS 承認の暗号化方式を使用して PKCS #12 (.p12) ファイルをラップします。 |
| Poppler | 元の PDF (MD5、RC4、SHA-1 など) に存在する場合は、許可されていないアルゴリズムに基づいて署名、パスワード、および暗号化を使用して PDF を保存できます。 |
| PostgreSQL | KDF は SHA-1 を使用します。 |
| QAT エンジン | 暗号化プリミティブの混在ハードウェアおよびソフトウェア実装 (RSA、EC、DH、AES、…) |
| Ruby | 安全でないライブラリー関数 MD5 および SHA-1 を提供します。 |
| Samba | RC4 および DES (Windows との相互運用性) のサポートを維持します。 |
| Syslinux | BIOS パスワードは SHA-1 を使用します。 |
| Unbound | DNS 仕様では、DNSSEC リゾルバーが検証のために DNSKEY レコードで SHA-1 ベースのアルゴリズムを使用する必要があります。 |
| Valgrind | AES、SHA ハッシュ。[a] |
[a]
ARM 上の AES-NI、SHA-1 および SHA-2 などのソフトウェアハードウェアオフロード操作を再実装します。
| |