Pouvons-nous supposer que les personnes qui configurent des systèmes ou des logiciels sont des experts dans leur domaine et qu'elles comprennent les détails des algorithmes cryptographiques et que tout ce qu'ils configurent est à l'abri des attaquants ? Que notre hypothèse soit bonne ou mauvaise, il est important que les systèmes et logiciels fonctionnent avec les bons paramètres cryptographiques. Et qu'est-ce que j'entends par bons paramètres cryptographiques ? Les paramètres conformes aux normes mondialement acceptées empêchent l'utilisation de protocoles et d'algorithmes hérités. En bref, je parle des politiques de chiffrement à l'échelle du système.
Que sont les politiques de chiffrement ?
Une politique de chiffrement est un package qui configure les principaux sous-systèmes cryptographiques en activant un ensemble de politiques que l'administrateur peut choisir. Lorsqu'une politique de chiffrement à l'échelle du système est activée, les applications et les services s'y conforment et rejettent les protocoles et les algorithmes qui ne respectent pas la politique.
Outil – mise à jour-crypto-policies
update-crypto-policies est la commande permettant de gérer la politique cryptographique actuelle à l'échelle du système. La commande est installée par le package ‘crypto-policies-scripts ' dans CentOS Stream 8. Toutefois, si vous ne trouvez pas le package dans votre système d'exploitation, installez-le comme indiqué ci-dessous :
Installer les crypto-policies-scripts
# dnf -y install crypto-policies-scripts
(ou)
# yum -y install crypto-policies-scripts
Afficher la politique actuelle à l'échelle du système
# update-crypto-policies --show DEFAULT
Définir/Modifier la politique à l'échelle du système
# update-crypto-policies --set FUTURE Setting system policy to FUTURE Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Comme indiqué dans la sortie ci-dessus, redémarrez le système pour appliquer la nouvelle politique de chiffrement.
Type de politiques cryptographiques prises en charge
DEFAULT, LEGACY, FUTURE et FIPS sont les politiques que vous pouvez définir à l'aide de update-crypto-policies commande. En savoir plus sur les politiques de chiffrement ici.
Exemples d'applications clientes
Maintenant, supposons que vous ayez défini la politique de chiffrement à l'échelle du système sur FUTURE et voir comment les applications clientes se comportent.
Utilisez cURL pour accéder à un site Web qui utilise un certificat SHA-1 faible. Lorsque la politique de chiffrement est définie sur FUTURE, cURL doit interdire le certificat SHA-1, comme indiqué ci-dessous :
# curl https://sha1-intermediate.badssl.com curl: (60) SSL certificate problem: EE certificate key too weak More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
Essayer de se connecter en SSH au serveur avec des chiffrements faibles devrait entraîner une erreur comme indiqué ci-dessous :
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] :::::::::::::::::::::::::::::::::::: Unable to negotiate with 192.168.141.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Apprenez à désactiver l'algorithme d'échange de clé faible, le mode CBC dans SSH.
Avec cela, nous comprenons que les applications client et serveur respectent les politiques de chiffrement définies à l'échelle du système. Cela signifie que l'administrateur n'a pas à se soucier de définir le bon algorithme et protocole cryptographique pour chaque application.