8.2. 시스템 전체 암호화 정책

시스템 전체 암호화 정책은 TLS, IPSec, SSH, DNSSec 및 Kerberos 프로토콜을 다루는 코어 암호화 하위 시스템을 구성하는 시스템 구성 요소입니다.

인플레이스 업그레이드 프로세스는 RHEL 8에서 사용한 암호화 정책을 유지합니다. 예를 들어 RHEL 8에서 DEFAULT 암호화 정책을 사용한 경우 시스템은 RHEL 9로 업그레이드된 경우에도 DEFAULT 를 사용합니다. 사전 정의된 정책의 특정 설정은 다르며 RHEL 9 암호화 정책에는 더 엄격하고 안전한 기본값이 포함되어 있습니다. 예를 들어 RHEL 9 DEFAULT 암호화 정책은 서명에 대해 SHA-1 사용을 제한하고 LEGACY 정책은 더 이상 2048비트 미만의 DH 및 RSA 암호를 허용하지 않습니다. 자세한 내용은 보안 강화 문서의 Strong crypto defaults 섹션을 참조하십시오. 사용자 지정 암호화 정책은 즉각적 업그레이드 전반에 걸쳐 보존됩니다.

현재 시스템 차원의 암호화 정책을 보거나 변경하려면 update-crypto-policies 도구를 사용합니다.

$ update-crypto-policies --show
DEFAULT

예를 들어 다음 명령은 시스템 전체 암호화 정책 수준을 FUTURE 로 전환합니다. 이 수준은 가까운 미래의 공격에 대응해야 합니다.

# update-crypto-policies --set FUTURE
Setting system policy to FUTURE

시나리오에 SHA-1을 사용하여 기존 또는 타사 암호화 서명을 확인해야 하는 경우 다음 명령을 입력하여 활성화할 수 있습니다.

# update-crypto-policies --set DEFAULT:SHA1

또는 시스템 전체 암호화 정책을 LEGACY 정책으로 전환할 수 있습니다. 그러나 LEGACY 는 또한 안전하지 않은 다른 많은 알고리즘을 사용할 수 있습니다.

시스템 전체 암호화 정책을 사용자 지정할 수도 있습니다. 자세한 내용은 정책 수정자를 사용하여 시스템 전체 암호화 정책 사용자 지정 및 사용자 지정 시스템 차원의 암호화 정책 생성 및 설정을 참조하십시오. 사용자 지정 암호화 정책을 사용하는 경우 정책을 검토하고 업데이트하여 암호화 및 컴퓨터 하드웨어에서 사전에 가져온 위협을 완화하는 것이 좋습니다.