システムまたはソフトウェアをセットアップする人々はその分野の専門家であり、暗号化アルゴリズムの詳細を理解しており、セットアップするすべてのものが攻撃者から安全であると想定できますか?私たちの仮定が正しいか間違っているかにかかわらず、システムとソフトウェアが正しい暗号化設定で動作していることが重要です。そして、正しい暗号化設定とはどういう意味ですか?世界的に受け入れられている標準に準拠する設定により、従来のプロトコルとアルゴリズムの使用が妨げられます。要するに、私はシステム全体の暗号化ポリシーについて話しているのです。
暗号ポリシーとは何ですか?
暗号化ポリシーは、管理者が選択できる一連のポリシーを有効にすることにより、コア暗号化サブシステムを構成するパッケージです。システム全体の暗号化ポリシーが有効になっている場合、アプリケーションとサービスはそれに準拠し、ポリシーを満たさないプロトコルとアルゴリズムを拒否します。
ツール– update-crypto-policies
update-crypto-policies 現在のシステム全体の暗号化ポリシーを管理するコマンドです。このコマンドは、パッケージ「crypto-policies-scripts」によってインストールされます。 ‘CentOS Stream 8にあります。ただし、OSにパッケージが見つからない場合は、以下に示すようにインストールしてください。
crypto-policies-scriptsをインストールします
# dnf -y install crypto-policies-scripts
(または)
# yum -y install crypto-policies-scripts
現在のシステム全体のポリシーを表示
# update-crypto-policies --show DEFAULT
システム全体のポリシーを設定/変更する
# update-crypto-policies --set FUTURE Setting system policy to FUTURE Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.>
上記の出力に示されているように、システムを再起動して新しい暗号化ポリシーを適用します。
サポートされている暗号化ポリシーのタイプ
DEFAULT、LEGACY、FUTURE、およびFIPSは、update-crypto-policiesを使用して設定できるポリシーです。 指図。暗号ポリシーの詳細については、こちらをご覧ください。
クライアントアプリケーションの例
ここで、システム全体の暗号化ポリシーをFUTUREに設定したと仮定します。 クライアントアプリケーションがどのように動作するかを確認してください。
cURLを使用する 弱いSHA-1証明書を使用しているWebサイトにアクセスします。暗号化ポリシーがFUTUREに設定されている間、cURLは以下に示すようにSHA-1証明書を禁止する必要があります:
# curl https://sha1-intermediate.badssl.com curl: (60) SSL certificate problem: EE certificate key too weak More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
弱い暗号でサーバーにSSHで接続しようとすると、次のようなエラーが発生するはずです。
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] :::::::::::::::::::::::::::::::::::: Unable to negotiate with 192.168.141.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
弱鍵交換アルゴリズム、SSHのCBCモードを無効にする方法を学びます。
これにより、クライアントおよびサーバーアプリケーションがシステム全体で設定された暗号化ポリシーを尊重することがわかります。これは、管理者が各アプリケーションに適切な暗号化アルゴリズムとプロトコルを設定することを心配する必要がないことを意味します。