7.2. 보안

SHA-1은 암호화 목적으로 사용되지 않습니다.

암호화 목적으로 SHA-1 메시지 다이제스트를 사용하는 것은 RHEL 9에서 더 이상 사용되지 않습니다. SHA-1에서 생성된 다이제스트는 해시 충돌을 찾는 데 따른 문서화된 여러 공격으로 인해 안전하지 않은 것으로 간주되지 않습니다. RHEL 핵심 암호화 구성 요소는 기본적으로 SHA-1을 사용하여 더 이상 서명을 생성하지 않습니다. RHEL 9의 애플리케이션은 보안 관련 사용 사례에서 SHA-1을 사용하지 않도록 업데이트되었습니다.

예외적으로 HMAC-SHA1 메시지 인증 코드와 UUID(Universal Unique Identifier) 값은 SHA-1을 사용하여 계속 생성할 수 있습니다. 이러한 사용 사례는 현재 보안 위험을 초래하지 않기 때문입니다. SHA-1은 Kerberos 및 WPA-2와 같은 중요한 상호 운용성 및 호환성 문제와 관련된 제한된 경우에도 사용할 수 있습니다. 자세한 내용은 RHEL 9 보안 강화 문서의 FIPS 140-3 섹션을 지원하지 않는 암호화를 사용하는 RHEL 애플리케이션 목록을 참조하십시오.

시나리오에 SHA-1을 사용하여 기존 또는 타사 암호화 서명을 확인해야 하는 경우 다음 명령을 입력하여 활성화할 수 있습니다. 

# update-crypto-policies --set DEFAULT:SHA1

또는 시스템 전체 암호화 정책을 LEGACY 정책으로 전환할 있습니다. LEGACY 는 또한 안전하지 않은 다른 많은 알고리즘을 사용할 수 있습니다.

(JIRA:RHELPLAN-110763)

RHEL 9에서 SCP가 더 이상 사용되지 않음

보안 복사 프로토콜(SCP)은 알려진 보안 취약점이 있기 때문에 더 이상 사용되지 않습니다. SCP API는 RHEL 9 라이프사이클에서 계속 사용할 수 있지만 이를 사용하면 시스템 보안이 저하됩니다.

  • scp 유틸리티에서 SCP는 기본적으로 SFTP(SSH 파일 전송 프로토콜)로 교체됩니다.
  • OpenSSH 제품군은 RHEL 9에서 SCP를 사용하지 않습니다.
  • libssh 라이브러리에서 SCP가 더 이상 사용되지 않습니다.

(JIRA:RHELPLAN-99136)

SASL의 digest-MD5는 더 이상 사용되지 않음

SASL(Simple Authentication Security Layer) 프레임워크의 다이제스트-MD5 인증 메커니즘은 더 이상 사용되지 않으며 향후 주요 릴리스에서 cyrus-sasl 패키지에서 제거될 수 있습니다.

(BZ#1995600)

OpenSSL은 MD2, MD4, MDC2, Whirlpool, RIPEMD160, Blowfish, CAST, DES, IDEA, RC4, RC4, RC5, SEED 및 PBKDF1을 더 이상 사용하지 않습니다.

OpenSSL 프로젝트는 안전하지 않거나 일반적으로 사용되거나 둘 다 사용되기 때문에 암호화 알고리즘 세트를 더 이상 사용하지 않습니다. 또한 Red Hat은 이러한 알고리즘 사용을 권장하지 않으며 RHEL 9는 암호화된 데이터를 마이그레이션하여 새로운 알고리즘을 사용하기 위해 제공합니다. 사용자는 시스템의 보안을 위해 이러한 알고리즘에 의존하지 않아야 합니다.

다음 알고리즘의 구현은 OpenSSL의 기존 공급자로 이동되었습니다. MD2, MD4, MDC2, Whirlpool, RIPEMD160, Blowfish, CAST,DES, IDEA, RC4, RC4, RC5, SEED, PBKDF1.

레거시 공급자를 로드하고 더 이상 사용되지 않는 알고리즘에 대한 지원을 활성화하는 방법에 대한 지침은 /etc/pki/tls/openssl.cnf 구성 파일을 참조하십시오.

(BZ#1975836)

/etc/system-fips 가 더 이상 사용되지 않음

/etc/system-fips 파일을 통한 FIPS 모드를 나타내는 지원은 제거되었으며 향후 RHEL 버전에서는 파일이 포함되지 않습니다. FIPS 모드에서 RHEL을 설치하려면 시스템 설치 중에 fips=1 매개변수를 커널 명령줄에 추가합니다. fips-mode-setup --check 명령을 사용하여 RHEL이 FIPS 모드에서 작동하는지 확인할 수 있습니다.

(JIRA:RHELPLAN-103232)

libcrypt.so.1 이 더 이상 사용되지 않음

libcrypt.so.1 라이브러리는 더 이상 사용되지 않으며 향후 RHEL 버전에서 제거될 수 있습니다.

(BZ#2034569)

fapolicyd.rules 가 더 이상 사용되지 않음

허용 및 거부 규칙이 포함된 파일의 /etc/fapolicyd/rules.d/ 디렉터리는 /etc/fapolicyd/fapolicyd.rules 파일을 대체합니다. 이제 fagenrules 스크립트는 이 디렉터리의 모든 구성 요소 규칙 파일을 /etc/fapolicyd/ compiled.rules 파일에 병합합니다. /etc/fapolicyd/fapolicyd.trust 의 규칙은 여전히 fapolicyd 프레임워크에서 처리되지만 이전 버전과의 호환성을 위해서만 계속 처리합니다.

(BZ#2054740)