Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 3. Usando políticas criptográficas de todo o sistema

Políticas criptográficas é um componente do sistema que configura os subsistemas criptográficos centrais, cobrindo os protocolos TLS, IPSec, SSH, DNSSec, e Kerberos. Ele fornece um pequeno conjunto de políticas, que o administrador pode selecionar.

3.1. Políticas criptográficas de todo o sistema

Uma vez estabelecida uma política para todo o sistema, as aplicações na RHEL a seguem e se recusam a usar algoritmos e protocolos que não atendem à política, a menos que você solicite explicitamente a aplicação para fazê-lo. Ou seja, a política se aplica ao comportamento padrão dos aplicativos quando em execução com a configuração fornecida pelo sistema, mas você pode anulá-la se necessário.

O Red Hat Enterprise Linux 8 contém os seguintes níveis de políticas:

DEFAULT

O nível padrão da política criptográfica do sistema oferece configurações seguras para os modelos de ameaça atuais. Ele permite os protocolos TLS 1.2 e 1.3, assim como os protocolos IKEv2 e SSH2. As chaves RSA e os parâmetros Diffie-Hellman são aceitos se tiverem pelo menos 2048 bits de comprimento.

LEGACY

Esta política assegura a máxima compatibilidade com o Red Hat Enterprise Linux 5 e anteriores; é menos segura devido a uma superfície de ataque maior. Além dos algoritmos e protocolos de nível DEFAULT, ela inclui suporte aos protocolos TLS 1.0 e 1.1. Os algoritmos DSA, 3DES e RC4 são permitidos, enquanto as chaves RSA e os parâmetros Diffie-Hellman são aceitos se tiverem pelo menos 1023 bits de comprimento.

FUTURE

Um nível de segurança conservador que se acredita suportar qualquer ataque futuro a curto prazo. Este nível não permite o uso de SHA-1 em algoritmos de assinatura. As chaves RSA e os parâmetros Diffie-Hellman são aceitos se tiverem pelo menos 3072 bits de comprimento.

FIPS

Um nível de política que esteja em conformidade com os requisitos FIPS 140-2. Isto é usado internamente pela ferramenta fips-mode-setup, que muda o sistema RHEL para o modo FIPS.

A Red Hat ajusta continuamente todos os níveis da política de modo que todas as bibliotecas, exceto quando se utiliza a política LEGACY, forneçam padrões de segurança. Mesmo que o perfil LEGACY não forneça padrões seguros, ele não inclui nenhum algoritmo que seja facilmente explorável. Como tal, o conjunto de algoritmos habilitados ou tamanhos de chave aceitáveis em qualquer política fornecida pode mudar durante a vida útil do RHEL 8.

Tais mudanças refletem novos padrões de segurança e novas pesquisas de segurança. Se você deve garantir a interoperabilidade com um sistema específico durante toda a vida útil do RHEL 8, você deve optar por não utilizar políticas criptográficas para componentes que interagem com esse sistema.

Importante

Como uma chave criptográfica usada por um certificado no API do Portal do Cliente não atende aos requisitos da política de criptografia do sistema FUTURE, o utilitário redhat-support-tool não funciona com este nível de política no momento.

Para contornar este problema, utilize a política de criptografia DEFAULT enquanto se conecta ao API do Portal do Cliente.

Nota

Os algoritmos e cifras específicos descritos nos níveis de política como permitidos estão disponíveis somente se uma aplicação os suportar.

Ferramenta para gerenciar políticas criptográficas

Para visualizar ou alterar a atual política de criptografia do sistema, use a ferramenta update-crypto-policies, por exemplo: 

$ update-crypto-policies --show
DEFAULT
# update-crypto-policies --set FUTURE
Setting system policy to FUTURE

Para garantir que a mudança da política criptográfica seja aplicada, reinicie o sistema.

Padrões criptográficos fortes através da remoção de conjuntos e protocolos criptográficos inseguros

A lista a seguir contém conjuntos de cifras e protocolos removidos das bibliotecas criptográficas centrais no RHEL 8. Eles não estão presentes nas fontes, ou seu suporte é desativado durante a construção, de modo que as aplicações não podem usá-los.

  • DES (desde RHEL 7)
  • Todas as suítes de cifras de grau de exportação (desde RHEL 7)
  • MD5 em assinaturas (desde RHEL 7)
  • SSLv2 (desde RHEL 7)
  • SSLv3 (desde RHEL 8)
  • Todas as curvas ECC < 224 bits (desde RHEL 6)
  • Todas as curvas ECC de campo binário (desde RHEL 6)

Suítes de cifras e protocolos desabilitados em todos os níveis de políticas

Os seguintes conjuntos de cifras e protocolos são desativados em todos os níveis da política criptográfica. Eles só podem ser habilitados através de uma configuração explícita de aplicações individuais.

  • DH com parâmetros < 1024 bits
  • RSA com chave de tamanho < 1024 bits
  • Camélia
  • ARIA
  • SEED
  • IDEA
  • Suítes de cifras somente de integridade
  • TLS CBC modo criptográfico usando SHA-384 HMAC
  • AES-CCM8
  • Todas as curvas ECC incompatíveis com o TLS 1.3, incluindo o secp256k1
  • IKEv1 (desde RHEL 8)

Suítes de cifras e protocolos habilitados nos níveis cripto-políticos

A tabela a seguir mostra os conjuntos e protocolos de cifras habilitados em todos os quatro níveis de criptografia.

 LEGACYDEFAULTFIPSFUTURE

IKEv1

não

não

não

não

3DES

sim

não

não

não

RC4

sim

não

não

não

DH

min. 1024 bits

min. 2048 bits

min. 2048 bits

min. 3072 bits

RSA

min. 1024 bits

min. 2048 bits

min. 2048 bits

min. 3072 bits

DSA

sim

não

não

não

TLS v1.0

sim

não

não

não

TLS v1.1

sim

não

não

não

SHA-1 in digital signatures

sim

sim

não

não

CBC mode ciphers

sim

sim

sim

não

Symmetric ciphers with keys < 256 bits

sim

sim

sim

não

SHA-1 and SHA-224 signatures in certificates

sim

sim

sim

não

Recursos adicionais

  • Para mais detalhes, consulte a página de manual update-crypto-policies(8).