Menu Close
Settings Close

Language and Page Formatting Options

3.5. 使用与 FIPS 140-3 不兼容的加密的 RHEL 应用程序列表

红帽建议使用核心加密组件集中的库,因为它们可保证传递所有相关加密认证,如 FIPS 140-3,也遵循 RHEL 系统范围的加密策略。

有关 核心加密组件的 RHEL 核心加密组件文章、如何选择它们的信息、它们如何集成到操作系统中,如何支持硬件安全模块和智能卡,以及如何应用加密认证。

表 3.1. 使用与 FIPS 140-3 不兼容的加密的 RHEL 8 应用程序列表

Application(应用程序)详情

bacula

实施 CRAM-MD5 身份验证协议。

Cyrus SASL

使用 SCRAM-SHA-1 验证方法。

Dovecot

使用 SCRAM-SHA-1。

emacs

使用 SCRAM-SHA-1。

FreeRADIUS

使用 MD5 和 SHA-1 进行身份验证协议。

ghostscript

自定义加密实施(MD5、RC4、SHA-2、AES)来加密和解密文档。

GRUB2

支持需要 SHA-1 的传统固件协议,并包含 libgcrypt 库。

ipxe

实施 TLS 堆栈。

Kerberos

保留对 SHA-1 的支持(与 Windows 的互操作性)。

lasso

lasso_wsse_username_token_derive_key() 密钥派生函数(KDF)使用 SHA-1。

MariaDB, MariaDB Connector

mysql_native_password 验证插件使用 SHA-1。

MySQL

mysql_native_password uses SHA-1.

OpenIPMI

RAKP-HMAC-MD5 验证方法没有批准 FIPS 使用,且无法在 FIPS 模式中工作。

Ovmf(UEFI 固件)、Edk2、shim

完整加密堆栈( OpenSSL 库的嵌入式副本)。

perl-CPAN

摘要 MD5 身份验证.

perl-Digest-HMAC, perl-Digest-SHA

使用 HMAC、HMAC-SHA1、HMAC-MD5、SHA-1、SHA-224 等。

perl-Mail-DKIM

Signer 类默认使用 RSA-SHA1 算法。

PKCS #12 文件处理(OpenSSL、GnuTLS、NSS、Firefox、Java)

所有 PKCS #12 的使用都不兼容 FIPS,因为用于计算整个文件 HMAC 的密钥 Derivation Function(KDF)并不是 FIPS-approved。因此,KUK #12 文件被视为纯文本,用于 FIPS 合规性。对于 key-transport 目的,使用 FIPS 批准的加密方案嵌套 PKCS #12(.p12)文件。

poppler

如果这些算法存在于原始 PDF 中(例如 MD5、RC4 和 SHA-1)中,可以使用签名、密码和加密保存 PDF。

PostgreSQL

KDF 使用 SHA-1。

QAT Engine

加密原语(RSA、EC、DH、AES、…​)的混合硬件和软件实现。)

Ruby

提供不安全的 MD5 和 SHA-1 库函数。

Samba

保留对 RC4 和 DES 的支持(与 Windows 的互操作性)。

Syslinux

BIOS 密码使用 SHA-1。

unbound

DNS 规范要求 DNSSEC 解析器在 DNSKEY 记录中使用基于 SHA-1-based 算法进行验证。

Valgrind

AES、SHA 哈希.[a]

[a] 重新实施软件硬件加载操作,如 ARM 上的 AES-NI 或 SHA-1 和 SHA-2。