Red Hat Training

A Red Hat training course is available for RHEL 8

4.8. 通过自定义系统范围的加密策略来禁用 SHA-1

因为 SHA-1 哈希函数本身存在弱设计,并且升级加密分析使其容易受到攻击,所以 RHEL 8 默认不使用 SHA-1。然而,一些第三方应用程序(如公共签名)仍然使用 SHA-1。要在您的系统中禁用在签名算法中使用 SHA-1,您可以使用 NO-SHA1 策略 模块。

重要

NO-SHA1 策略模块仅在签名而不是其它位置禁用 SHA-1 哈希功能。特别是,NO-SHA1 模块仍然允许使用 SHA-1 和基于哈希的消息验证代码(HMAC)。这是因为 HMAC 安全属性不依赖于对应哈希函数的冲突攻击,因此 SHA-1 最近攻击 SHA-1 对 HMAC 使用 SHA-1 的影响显著降低。

注意

禁用 SHA-1 的模块包括在 RHEL 8.3 中。RHEL 8.2 提供了对系统范围的加密策略的自定义。

流程

  1. 将您的策略调整应用到 DEFAULT 系统范围的加密策略级别:

    # update-crypto-policies --set DEFAULT:NO-SHA1
  2. 要使您的加密设置对已经运行的服务和应用程序有效,请重启系统:

    # reboot

其它资源