Můžeme předpokládat, že lidé, kteří nastavují systémy nebo software, jsou odborníci ve svém oboru a chápou detaily kryptografických algoritmů a vše, co nastavují, je v bezpečí před útočníky? Ať už je náš předpoklad správný nebo špatný, je důležité, aby systémy a software fungovaly se správným kryptografickým nastavením. A co myslím tím správným kryptografickým nastavením? Nastavení, která jsou v souladu s celosvětově uznávanými standardy, zabraňují použití starších protokolů a algoritmů. Stručně řečeno, mluvím o zásadách šifrování v celém systému.
Co jsou zásady pro šifrování?
Crypto policy je balíček, který konfiguruje základní kryptografické subsystémy povolením sady politik, které si může vybrat správce. Když je povolena celosystémová šifrovací zásada, aplikace a služby ji dodržují a odmítají protokoly a algoritmy, které zásady nesplňují.
Nástroj – update-crypto-policies
update-crypto-policies je příkaz pro správu aktuálních celosystémových kryptografických zásad. Příkaz se instaluje pomocí balíčku ‘crypto-policies-scripts ‘ v CentOS Stream 8. Pokud však balíček ve svém operačním systému nenajdete, nainstalujte jej, jak je uvedeno níže:
Instalovat crypto-policies-scripts
# dnf -y install crypto-policies-scripts
(nebo)
# yum -y install crypto-policies-scripts
Zobrazit aktuální zásady pro celý systém
# update-crypto-policies --show DEFAULT
Nastavit/změnit zásady pro celý systém
# update-crypto-policies --set FUTURE Setting system policy to FUTURE Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Jak je uvedeno ve výše uvedeném výstupu, restartujte systém, abyste použili novou kryptografickou politiku.
Typ podporovaných zásad kryptografie
DEFAULT, LEGACY, FUTURE a FIPS jsou zásady, které můžete nastavit pomocí update-crypto-policies příkaz. Více o krypto-politikách se dozvíte zde.
Příklady klientských aplikací
Nyní předpokládejme, že jste nastavili celosystémovou šifrovací zásadu na FUTURE a uvidíte, jak se k němu klientské aplikace chovají.
Použijte cURL pro přístup na web, který používá slabý certifikát SHA-1. Zatímco je krypto zásada nastavena na FUTURE, cURL by měl zakázat certifikát SHA-1, jak je uvedeno níže:
# curl https://sha1-intermediate.badssl.com curl: (60) SSL certificate problem: EE certificate key too weak More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
Pokus o SSH na server se slabými šiframi by měl vést k chybě, jak je uvedeno níže:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] :::::::::::::::::::::::::::::::::::: Unable to negotiate with 192.168.141.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Naučte se deaktivovat slabý algoritmus výměny klíčů, režim CBC v SSH.
Díky tomu chápeme, že klientské a serverové aplikace respektují kryptografické zásady nastavené v celém systému. To znamená, že se administrátor nemusí starat o nastavení správného kryptografického algoritmu a protokolu pro každou aplikaci.