Possiamo presumere che le persone che configurano sistemi o software siano esperte nel loro campo e comprendano i dettagli degli algoritmi crittografici e tutto ciò che impostano sia al sicuro dagli aggressori? Indipendentemente dal fatto che la nostra ipotesi sia giusta o sbagliata, è importante che i sistemi e il software funzionino con le corrette impostazioni crittografiche. E cosa intendo per impostazioni crittografiche corrette? Le impostazioni conformi agli standard accettati a livello globale impediscono l'uso di protocolli e algoritmi legacy. In breve, sto parlando delle politiche crittografiche a livello di sistema.
Cosa sono le politiche crittografiche?
Una politica Crypto è un pacchetto che configura i sottosistemi crittografici di base abilitando una serie di politiche, che l'amministratore può scegliere. Quando una policy crittografica a livello di sistema è abilitata, le applicazioni e i servizi la rispettano e rifiutano protocolli e algoritmi che non soddisfano la policy.
Strumento – update-crypto-policies
update-crypto-policies è il comando per gestire la politica crittografica corrente a livello di sistema. Il comando viene installato dal pacchetto 'crypto-policies-scripts ' in CentOS Stream 8. Tuttavia, se non trovi il pacchetto nel tuo sistema operativo, installalo come mostrato di seguito:
Installa crypto-policies-scripts
# dnf -y install crypto-policies-scripts
(o)
# yum -y install crypto-policies-scripts
Visualizza la politica corrente a livello di sistema
# update-crypto-policies --show DEFAULT
Imposta/Modifica criterio a livello di sistema
# update-crypto-policies --set FUTURE Setting system policy to FUTURE Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Come indicato nell'output sopra, riavvia il sistema per applicare la nuova politica di crittografia.
Tipo di criteri crittografici supportati
DEFAULT, LEGACY, FUTURE E FIPS sono le politiche che puoi impostare usando le update-crypto-policies comando. Scopri di più sulle criptovalute qui.
Esempi di applicazioni client
Ora, supponi di aver impostato la politica crittografica a livello di sistema su FUTURE e guarda come si comportano le applicazioni client.
Usa cURL per accedere a un sito Web che utilizza un certificato SHA-1 debole. Mentre il criterio crittografico è impostato su FUTURE, cURL non dovrebbe consentire il certificato SHA-1 come mostrato di seguito:
# curl https://sha1-intermediate.badssl.com curl: (60) SSL certificate problem: EE certificate key too weak More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
Il tentativo di eseguire l'SSH sul server con crittografie deboli dovrebbe causare un errore come mostrato di seguito:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] :::::::::::::::::::::::::::::::::::: Unable to negotiate with 192.168.141.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Impara a disabilitare l'algoritmo di scambio di chiavi deboli, la modalità CBC in SSH.
Con questo, comprendiamo che le applicazioni client e server rispettano le politiche crittografiche impostate a livello di sistema. Significa che l'amministratore non deve preoccuparsi di impostare l'algoritmo e il protocollo crittografici corretti per ciascuna applicazione.