Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 8. Segurança

8.1. Mudanças nos componentes criptográficos principais

8.1.1. As políticas criptográficas de todo o sistema são aplicadas por padrão

Crypto-policies é um componente do Red Hat Enterprise Linux 8, que configura os subsistemas criptográficos centrais, cobrindo os protocolos TLS, IPsec, DNSSEC, Kerberos e a suíte OpenSSH. Ele fornece um pequeno conjunto de políticas, que o administrador pode selecionar usando o comando update-crypto-policies.

A política criptográfica do sistema DEFAULT oferece configurações seguras para os modelos de ameaça atuais. Ela permite os protocolos TLS 1.2 e 1.3, assim como os protocolos IKEv2 e SSH2. As chaves RSA e os parâmetros Diffie-Hellman são aceitos se forem maiores que 2047 bits.

Veja o artigo Segurança consistente por políticas criptográficas no Red Hat Enterprise Linux 8 no Blog da Red Hat e na página de manual update-crypto-policies(8) para mais informações.

8.1.2. Padrões criptográficos fortes através da remoção de conjuntos e protocolos criptográficos inseguros

A lista a seguir contém conjuntos de cifras e protocolos removidos das bibliotecas criptográficas centrais no RHEL 8. Eles não estão presentes nas fontes, ou seu suporte é desativado durante a construção, de modo que as aplicações não podem usá-los.

  • DES (desde RHEL 7)
  • Todas as suítes de cifras de grau de exportação (desde RHEL 7)
  • MD5 em assinaturas (desde RHEL 7)
  • SSLv2 (desde RHEL 7)
  • SSLv3 (desde RHEL 8)
  • Todas as curvas ECC < 224 bits (desde RHEL 6)
  • Todas as curvas ECC de campo binário (desde RHEL 6)

8.1.3. Suítes de cifras e protocolos desabilitados em todos os níveis de políticas

Os seguintes conjuntos de cifras e protocolos são desativados em todos os níveis da política criptográfica. Eles só podem ser habilitados através de uma configuração explícita de aplicações individuais.

  • DH com parâmetros < 1024 bits
  • RSA com chave de tamanho < 1024 bits
  • Camellia
  • ARIA
  • SEED
  • IDEA
  • Suítes de cifras somente de integridade
  • TLS CBC modo criptográfico usando SHA-384 HMAC
  • AES-CCM8
  • Todas as curvas ECC incompatíveis com o TLS 1.3, incluindo o secp256k1
  • IKEv1 (desde RHEL 8)

8.1.4. Mudando o sistema para o modo FIPS

As políticas criptográficas de todo o sistema contêm um nível de política que permite a auto-verificação dos módulos criptográficos de acordo com os requisitos da Publicação 140-2 do Federal Information Processing Standard (FIPS). A ferramenta fips-mode-setup que habilita ou desabilita o modo FIPS internamente usa o nível de política criptográfica em todo o sistema FIPS.

Para mudar o sistema para o modo FIPS no RHEL 8, digite o seguinte comando e reinicie seu sistema:

# fips-mode-setup --enable

Consulte a página de manual fips-mode-setup(8) para mais informações.

8.1.5. TLS 1.0 e TLS 1.1 são depreciados

Os protocolos TLS 1.0 e TLS 1.1 estão desabilitados no nível da política criptográfica do sistema DEFAULT. Se seu cenário, por exemplo, uma aplicação de videoconferência no navegador Firefox, exigir o uso dos protocolos depreciados, mude a política de criptografia de todo o sistema para o nível LEGACY:

# update-crypto-policies --set LEGACY

Para maiores informações, veja o artigo da Base de Conhecimento de criptografia forte no RHEL 8 e a depreciação de algoritmos criptográficos fracos no Portal do Cliente da Red Hat e na página de manual update-crypto-policies(8).

8.1.6. TLS 1.3 suporte em bibliotecas criptográficas

Esta atualização permite a Segurança da Camada de Transporte (TLS) 1.3 por padrão em todas as principais bibliotecas de criptografia back-end. Isto permite baixa latência em toda a camada de comunicação do sistema operacional e aumenta a privacidade e segurança das aplicações, aproveitando novos algoritmos, como RSA-PSS ou X25519.

8.1.7. A DSA é depreciada no RHEL 8

O Algoritmo de Assinatura Digital (DSA) é considerado depreciado no Red Hat Enterprise Linux 8. Os mecanismos de autenticação que dependem das chaves DSA não funcionam na configuração default. Note que os clientes OpenSSH não aceitam chaves de host DSA, mesmo no nível da política de criptografia do sistema LEGACY.

8.1.8. SSL2 Client Hello foi depreciado em NSS

A Camada de Segurança de Transporte (TLS) versão 1.2 e anterior permite iniciar uma negociação com uma mensagem Client Hello formatada de forma retrocompatível com a Camada de Tomadas Seguras (SSL) versão 2 do protocolo. O suporte a este recurso na biblioteca Network Security Services (NSS) foi depreciado e está desativado por padrão.

As aplicações que requerem suporte para este recurso precisam usar o novo SSL_ENABLE_V2_COMPATIBLE_HELLO API para habilitá-lo. O suporte a este recurso pode ser removido completamente em futuros lançamentos do Red Hat Enterprise Linux 8.

8.1.9. NSS agora usa SQL por padrão

As bibliotecas dos Network Security Services (NSS) agora usam o formato de arquivo SQL para o banco de dados de confiança por padrão. O formato de arquivo DBM, que era usado como formato padrão de banco de dados em versões anteriores, não suporta acesso simultâneo ao mesmo banco de dados por vários processos e tem sido depreciado no upstream. Como resultado, aplicações que usam o banco de dados de confiança NSS para armazenar chaves, certificados e informações de revogação agora criam bancos de dados no formato SQL por padrão. Tentativas de criar bancos de dados no formato DBM antigo falham. Os bancos de dados DBM existentes são abertos em modo somente leitura, e são automaticamente convertidos para o formato SQL. Note que o NSS suporta o formato de arquivo SQL desde o Red Hat Enterprise Linux 6.