¿Podemos suponer que las personas que configuran sistemas o software son expertos en su campo y entienden los detalles de los algoritmos criptográficos y que todo lo que configuran está a salvo de los atacantes? Ya sea que nuestra suposición sea correcta o incorrecta, es importante que los sistemas y el software funcionen con la configuración criptográfica correcta. ¿Y qué quiero decir con la configuración criptográfica correcta? Las configuraciones que cumplen con los estándares aceptados a nivel mundial evitan el uso de protocolos y algoritmos heredados. En resumen, estoy hablando de las políticas criptográficas de todo el sistema.
¿Qué son las criptopolíticas?
Una política criptográfica es un paquete que configura los subsistemas criptográficos centrales al habilitar un conjunto de políticas que el administrador puede elegir. Cuando se habilita una política criptográfica para todo el sistema, las aplicaciones y los servicios la cumplen y rechazan los protocolos y algoritmos que no cumplen con la política.
Herramienta – actualizar-crypto-policies
update-crypto-policies es el comando para administrar la política criptográfica actual en todo el sistema. El comando es instalado por el paquete ‘crypto-policies-scripts ' en CentOS Stream 8. Sin embargo, si no encuentra el paquete en su sistema operativo, instálelo como se muestra a continuación:
Instalar crypto-policies-scripts
# dnf -y install crypto-policies-scripts
(o)
# yum -y install crypto-policies-scripts
Ver la política actual de todo el sistema
# update-crypto-policies --show DEFAULT
Establecer/Cambiar política en todo el sistema
# update-crypto-policies --set FUTURE Setting system policy to FUTURE Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Como se indica en el resultado anterior, reinicie el sistema para aplicar la nueva política criptográfica.
Tipo de políticas criptográficas admitidas
DEFAULT, LEGACY, FUTURE Y FIPS son las políticas que puede configurar mediante update-crypto-policies dominio. Obtenga más información sobre las criptopolíticas aquí.
Ejemplos de aplicaciones cliente
Ahora, suponga que ha establecido la política criptográfica de todo el sistema en FUTURE y ver cómo se comportan las aplicaciones cliente.
Usar cURL para acceder a un sitio web que utiliza un certificado SHA-1 débil. Si bien la política de criptografía está establecida en FUTURO, cURL debería rechazar el certificado SHA-1 como se muestra a continuación:
# curl https://sha1-intermediate.badssl.com curl: (60) SSL certificate problem: EE certificate key too weak More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
Intentar SSH al servidor con cifrados débiles debería generar un error como se muestra a continuación:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] :::::::::::::::::::::::::::::::::::: Unable to negotiate with 192.168.141.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Aprenda a deshabilitar el algoritmo de intercambio de clave débil, modo CBC en SSH.
Con esto, entendemos que las aplicaciones cliente y servidor respetan las políticas criptográficas establecidas en todo el sistema. Significa que el administrador no debe preocuparse por configurar el protocolo y el algoritmo criptográfico correctos para cada aplicación.