Глава 3. Безопасность

При наличии пакета dracut-fips в Red Hat Enterprise Linux 6.5 проверка целостности будет выполняться независимо от режима ядра (FIPS или нет). За подробной информацией о совместимости Red Hat Enterprise Linux 6.5 с FIPS 140-2 обратитесь к базе знаний:

OpenSSL 1.0.1

Для аутентификации и прозрачного шифрования в GlusterFS добавлены шифры:
  • CMAC (Cipher-based MAC),
  • XTS (XEX Tweakable Block Cipher with Ciphertext Stealing),
  • GCM (Galois/Counter Mode).

Поддержка смарт-карт в OpenSSH

OpenSSH теперь совместим со стандартом PKCS #11 и разрешает аутентификацию с помощью смарт-карт.

Поддержка ECDSA в OpenSSL

ECDSA (Elliptic Curve Digital Signature Algorithm) является разновидностью алгоритма DSA (Digital Signature Algorithm) с использованием эллиптической криптографии. Этот алгоритм поддерживает кривые nistp256 и nistp384.

Поддержка ECDHE в OpenSSL

Добавлена поддержка алгоритма Диффи — Хеллмана на эллиптических кривых (ECDHE, Ephemeral Elliptic Curve Diffie-Hellman), что гарантирует совершенную прямую секретность (PFS, Perfect Forward Secrecy).

Поддержка TLS 1.1, 1.2 в OpenSSL и NSS

OpenSSL и NSS поддерживают последние версии протокола TLS (Transport Layer Security), что усиливает защиту сетевых соединений и улучшает совместимость с другими реализациями TLS.

HMAC-SHA2 в OpenSSH

Функция SHA-2 теперь может использоваться для создания хэш-кода аутентификации сообщений (MAC, Message Authentication Code), что обеспечивает целостность данных и возможность верификации OpenSSH.

Макрос префикса OpenSSL

Файл спецификации openssl теперь использует макрос префикса для пересборки пакетов openssl с целью их переноса.

Поддержка Suite B

Агентство национальной безопасности (NSA) представило стандарт «Suite B», который выступает в качестве основы для криптографической защиты информации. Основные функции:
  • Алгоритм AES (Advanced Encryption Standard) с 128- и 256-разрядными ключами. Этот алгоритм должен использоваться в режиме CTR (Counter Mode) для низкой пропускной способности и GCM (Galois/Counter Mode) для высокой пропускной способности и симметричного шифрования.
  • Цифровые подписи ECDSA (Elliptic Curve Digital Signature Algorithm).
  • Согласование ключей алгоритма Диффи — Хеллмана на эллиптических кривых (ECDH, Elliptic Curve Diffie-Hellman).
  • Дайджест сообщений SHA-256 и SHA-384.

Общие сертификаты

NSS, nuTLS, OpenSSL и Java используют один механизм для получения системных сертификатов для активации доверенного хранилища данных, используемого криптографическими инструментами для принятия решений о доверии сертификатам.

Автоматическая синхронизация локальных пользователей

Централизованная автоматическая синхронизация при управлении удостоверениями в Red Hat Enterprise Linux 6.5 значительно облегчает управление локальными пользователями.

Эллиптическая криптография в NSS

Службы NSS (Network Security Services) в Red Hat Enterprise Linux 6.5 поддерживают эллиптическую криптографию.