Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
章 3. 安全性
與 FIPS 140-2 憑證相關的變更
在 Red Hat Enterprise Linux 6.5 中,dracut-fips 套件存在時就會進行完整性驗證,不管 kernel 是否在 FIPS 模式下運作皆然。欲知如何讓 Red Hat Enterprise Linux 6.5 FIPS 140-2 符合規範,請參閱以下知識庫的內容:
OpenSSL 已更新至 1.0.1 版
這項更新加入了以下通透編碼與身份認證所需之加密法則至 Gluster FS 中:
- CMAC (Cipher-based MAC)
- XTS (XEX Tweakable Block Cipher with Ciphertext Stealing)
- GCM (Galois/Counter Mode)
OpenSSH 對於 smartcard 的支援
現在 OpenSSH 合乎 PKCS #11 標準的規範,讓 OpenSSH 使用 smartcard 作為身份認證的方式。
OpenSSL 對於 ECDSA 的支援
ECDSA(Elliptic Curve Digital Signature Algorithm,橢圓曲線數位簽章演算法則)是 DSA(Digital Signature Algorithm,數位簽章演算法則)的衍生版本,使用了 ECC(Elliptic Curve Cryptography,橢圓曲線加密法)。請注意目前只支援
nistp256
與 nistp384
曲線。
OpenSSL 對於 ECDHE 的支援
現在已支援 ECDHE(Ephemeral Elliptic Curve Diffie-Hellman,Diffie-Hellman 暫時性橢圓曲線金鑰交換法則),這能大幅降低「完全轉送秘密性(Perfect Forward Secrecy)」的運算需求。
OpenSSL 與 NSS 對於 TLS 1.1 與 1.2 的支援
現在 OpenSSL 與 NSS 支援最新版的 TLS(Transport Layer Security,傳輸層安全性)通訊定,增加了網路連線的安全性,並對其它 TLS 通訊協定提供了完整的互通性。最新的 TLS 通訊協定能讓主從式應用程式透過網路通訊時,避免資料被竊聽或竄改。
OpenSSH 對於 HMAC-SHA2 的支援
現在在 Red Hat Enterprise Linux 6.5 裡,SHA-2 加密雜湊函式可以用來產生 MAC(雜湊訊息認證碼,Message Authentication Code),以確保 OpenSSH 的資料完整性欲驗證功能。
OpenSSL 的前置巨集
現在 openssl 規格檔能使用前置巨集,以重新建立並進一步重新安置 openssl 套件。
支援 NSA Suite B 加密法則
Suite B 是美國國家安全局所指定的一組加密演算法則,屬於加密現代化計畫(Cryptographic Modernization Program)的一部分。Suite B 是異質平台之間的加密基石,用於非機密與大部分機密資訊上,包括:
- 長度為 128 與 256 位元的 AES 金鑰。就網路交通來說,AES 在低頻寬時應使用 CTR(Counter Mode),高頻寬或對稱加密時則使用 GCM(Galois/Counter Mode)。
- ECDSA(Elliptic Curve Digital Signature Algorithm,橢圓曲線數位簽章演算法則)數位簽章。
- ECDH(Elliptic Curve Diffie-Hellman,橢圓曲線金鑰交換法則)金鑰協議
- SHA 2(SHA-256 與 SHA-384)訊息摘要。
共用的系統憑證
NSS、GnuTLS、OpenSSL 與 Java 可以共享擷取系統憑證錨與黑名單資訊,以啟用系統全域的靜態信任資料,作為憑證信任與否的來源,用於加密工具組。系統等級的憑證管理易於使用,也是本地系統環境與企業建置所需的工具。
身分管理中,將本地使用者自動同步至中央的機制
∏ 6.5 身分管理中,將本地使用者自動同步至中央的機制能讓中央管理本地使用者更為簡單。
NSS 對於 ECC 的支援
現在 Red Hat Enterprise Linux 6.5 支援 ECC(Elliptic curve cryptography,橢圓曲線加密法則)。