10.4. 보안

암호화 목적으로 SHA-1이 더 이상 사용되지 않음

암호화 목적으로 SHA-1 메시지 다이제스트 사용은 RHEL 9에서 더 이상 사용되지 않습니다. SHA-1에 의해 생성된 다이제스트는 해시 충돌을 찾는 것으로 문서화된 많은 성공적인 공격으로 인해 안전하지 않은 것으로 간주되지 않습니다. RHEL 코어 암호화 구성 요소는 더 이상 기본적으로 SHA-1을 사용하여 서명을 생성하지 않습니다. 보안 관련 사용 사례에서 SHA-1을 사용하지 않도록 RHEL 9의 애플리케이션이 업데이트되었습니다.

fapolicyd.rules 가 더 이상 사용되지 않음

허용 및 거부 실행 규칙이 포함된 파일의 /etc/fapolicyd/rules.d/ 디렉터리는 /etc/fapolicyd/fapolicyd.rules 파일을 대체합니다. 이제 fagenrules 스크립트에서 이 디렉터리의 모든 구성 요소 규칙 파일을 /etc/fapolicyd/ECDHE.rules 파일에 병합합니다. /etc/fapolicyd/fapolicyd.trust 의 규칙은 fapolicyd 프레임워크에서 계속 처리하지만 이전 버전과의 호환성을 보장하기 위해서만 처리됩니다.

RHEL 9에서 SCP가 더 이상 사용되지 않음

SCP(Secure copy protocol)는 알려진 보안 취약점이 있기 때문에 더 이상 사용되지 않습니다. RHEL 9 라이프사이클에서 SCP API를 계속 사용할 수 있지만 이를 사용하면 시스템 보안이 저하됩니다.

SASL의 digest-ECDHE5가 더 이상 사용되지 않음

SASL(Simple Authentication Security Layer) 프레임워크의 Digest-ECDHE5 인증 메커니즘은 더 이상 사용되지 않으며 향후 주요 릴리스의 Cyrus-sasl 패키지에서 제거될 수 있습니다.

OpenSSL은 MD2, MD4, MDC2, Whirlpool, Blowfish, DES, IDEA, RC2, RC4, SEED 및 PBKDF1을 더 이상 사용하지 않습니다.

OpenSSL 프로젝트는 안전하지 않거나 일반적으로 사용되지 않거나 둘 다이므로 암호화 알고리즘 세트를 더 이상 사용되지 않습니다. Red Hat은 이러한 알고리즘의 사용을 권장하지 않으며 RHEL 9는 새로운 알고리즘을 사용하도록 암호화된 데이터를 마이그레이션하기 위해 이를 제공합니다. 사용자는 시스템 보안을 위해 이러한 알고리즘에 의존해서는 안 됩니다.

/etc/system-fips 가 더 이상 사용되지 않음

/etc/system-fips 파일을 통해 FIPS 모드를 나타내는 지원이 제거되었으며 파일은 향후 RHEL 버전에 포함되지 않습니다. FIPS 모드에서 RHEL을 설치하려면 시스템 설치 중에 fips=1 매개변수를 커널 명령줄에 추가합니다. fips-mode-setup --check 명령을 사용하여 RHEL이 FIPS 모드에서 작동하는지 확인할 수 있습니다.

libcrypt.so.1 is now deprecated

libcrypt.so.1 라이브러리는 더 이상 사용되지 않으며 향후 RHEL 버전에서 제거될 수 있습니다.

OpenSSL은 FIPS 모드에서 RSA 암호화 패딩이 필요합니다.

OpenSSL은 FIPS 모드에서 패딩 없이 더 이상 RSA 암호화를 지원하지 않습니다. 패딩이 없는 RSA 암호화는 드문 경우이며 거의 사용되지 않습니다. RSA (RSASVE)를 사용한 키 캡슐화는 패딩을 사용하지 않지만 계속 지원됩니다.