الاسم¶
سياسات
التشفير -
نظرة عامة
على سياسات
التشفير
على مستوى
النظام
الوصف¶
أمان
مكونات
التشفير في
نظام
التشغيل لا
يبقى
ثابتًا مع
مرور الوقت.
الخوارزميات،
مثل
التجزئة
التشفيرية
والتشفير،
عادةً ما
يكون لها
عمر
افتراضي،
وبعده
تُعتبر إما
خطيرة جدًا
للاستخدام
أو غير آمنة
تمامًا. هذا
يعني أننا
نحتاج إلى
إزالة هذه
الخوارزميات
تدريجيًا
من
الإعدادات
المبدئية
أو تعطيلها
كليًا إذا
كانت قد
تسبب مشكلة
لا يمكن
إصلاحها.
بينما في
الماضي لم
يتم تعطيل
الخوارزميات
بطريقة
متسقة
وطبقت
تطبيقات
مختلفة
سياسات
مختلفة،
فإن سياسات
التشفير
على مستوى
النظام
التي
تتبعها
مكونات
التشفير
الأساسية
تسمح
بإهمال
وتعطيل
الخوارزميات
بشكل متسق
على مستوى
النظام.
عدة
سياسات
مسبقة
التهيئة
(DEFAULT، LEGACY، FUTURE، و
FIPS) وسياسات
فرعية
مضمنة في
حزمة crypto-policies(7).
يمكن
لمسؤولي
النظام أو
البائعين
الخارجيين
تعريف
سياسات
وسياسات
فرعية
مخصصة.
الطريقة
الموصى بها
لتعديل
التهيئة
الفعالة هي
تطبيق
سياسة
فرعية
مخصصة فوق
سياسة
محددة
مسبقًا. هذا
يسمح
للتهيئة
بالتطور مع
التحديثات
المستقبلية
للسياسات
المحددة
مسبقًا مع
الحفاظ على
التعديل
المطلوب في
مكانه.
تعديل
التهيئة
الفعالة
بتعريف
سياسة
مخصصة
بالكامل
يمنع
التهيئة من
التطور مع
التحديثات
المستقبلية
للسياسات
المحددة
مسبقًا.
بناء
الجملة
لتعريف
السياسات
والسياسات
الفرعية
المخصصة
موصوف في
قسم تنسيق
تعريف
سياسة
التشفير
أدناه.
للاطلاع
على الأساس
المنطقي،
انظر RFC 7457
للحصول على
قائمة
بالهجمات
التي تستغل
خوارزميات
التشفير
القديمة.
التطبيقات المشمولة¶
سياسات
التشفير
تنطبق على
تهيئة
الأنظمة
الفرعية
التشفيرية
الأساسية،
وتغطي
بروتوكولات
TLS، IKE، IPSec،
DNSSec، و Kerberos؛ أي
بروتوكولات
الاتصالات
الآمنة
المدعومة
على نظام
التشغيل
الأساسي.
بمجرد
تشغيل
تطبيق في
نظام
التشغيل،
فإنه يتبع
السياسة
المبدئية
أو المحددة
ويرفض
الرجوع إلى
الخوارزميات
والبروتوكولات
غير
الموجودة
ضمن
السياسة،
إلا إذا طلب
المستخدم
صراحة من
التطبيق
القيام
بذلك. أي أن
السياسة
تنطبق على
السلوك
المبدئي
للتطبيقات
عند
تشغيلها مع
التهيئة
المقدمة من
النظام
ولكن يمكن
للمستخدم
تجاوزها
على أساس
خاص
بالتطبيق.
السياسات
توفر
حاليًا
إعدادات
لهذه
التطبيقات
والمكتبات:
•خادم
أسماء DNS BIND
(النطاقات:
BIND، DNSSec)
•مكتبة TLS
GnuTLS
(النطاقات:
GnuTLS، SSL، TLS)
•بيئة
تشغيل OpenJDK
(النطاقات:
java-tls، SSL، TLS)
•مكتبة
Kerberos 5
(النطاقات:
krb5، Kerberos)
•تنفيذ
بروتوكول IPsec
و IKE Libreswan
(النطاقات:
libreswan، IPSec، IKE)
•مكتبة TLS
NSS (النطاقات:
NSS؛ أغراض
استخدام
الخوارزميات
المحددة
تتأثر
أيضًا
بنطاقات SSL،
TLS، pkcs12، pkcs12-import،
smime، smime-import،
ونطاقات
الاستخدام
الداخلي
nss-tls، nss-pkcs12،
nss-pkcs12-import، nss-smime و
nss-smime-import.)
•تنفيذ
بروتوكول SSH2
OpenSSH
(النطاقات:
OpenSSH، SSH)
•مكتبة TLS
OpenSSL
(النطاقات:
OpenSSL، SSL، TLS)
•تنفيذ
بروتوكول SSH2
libssh
(النطاقات:
libssh، SSH)
•تنفيذ PGP
sequoia،
للاستخدام
خارج rpm-sequoia
(النطاقات:
sequoia)
•الواجهة
الخلفية لـ RPM
Sequoia PGP rpm-sequoia
(النطاقات:
rpm، rpm-sequoia)
التطبيقات
التي
تستخدم
المكتبات
والأدوات
المذكورة
أعلاه
مشمولة
بسياسات
التشفير ما
لم يتم
تهيئتها
صراحةً
بشكل
مختلف.
السياسات المقدمة¶
LEGACY
تضمن هذه
السياسة
أقصى توافق
مع الأنظمة
القديمة؛
وهي أقل
أمانًا
وتتضمن
دعمًا
لبروتوكولات
TLS 1.0 و
TLS 1.1 و
SSH2 أو
أحدث. يُسمح
بالخوارزميات
DSA و
3DES،
بينما
تُقبل
معاملات
RSA
و
Diffie-Hellman إذا
كانت أكبر
من 1024 بت. توفر
هذه
السياسة
أمانًا لا
يقل عن 64 بت.
•MACs: جميع
HMAC مع SHA-1 أو
أفضل + جميع MACs
الحديثة (Poly1305
إلخ.)
•المنحنيات:
جميع
الأعداد
الأولية >= 255
بت (بما في
ذلك
منحنيات Bernstein)
•خوارزميات
التوقيع: مع
تجزئة SHA1 أو
أفضل (يُسمح
بـ DSA)
•شفرات
TLS: جميع
المتاحة
بمفتاح >= 112
بت، وكتلة >= 128
بت (بما في
ذلك 3DES،
باستثناء
RC4)
•شفرات
غير TLS: نفس
شفرات TLS مع
إضافة Camellia
•تبادل
المفاتيح:
ECDHE، RSA، DHE
•حجم
معاملات DH: >=
1024
•حجم
مفاتيح RSA: >= 1024
•حجم
معاملات DSA: >=
1024
•بروتوكولات
TLS: TLS >= 1.0، DTLS >= 1.0
DEFAULT
سياسة
DEFAULT
هي سياسة
مبدئية
معقولة
لمعايير
اليوم. تسمح
ببروتوكولات
TLS 1.2 و
TLS 1.3،
بالإضافة
إلى
IKEv2 و
SSH2.
تُقبل
معاملات
Diffie-Hellman
إذا كان
طولها 2048 بت
على الأقل.
توفر هذه
السياسة
أمانًا لا
يقل عن 112 بت
مع استثناء
السماح
بتوقيعات
SHA-1
في DNSSec حيث لا
تزال سائدة.
•MACs: جميع
HMAC مع SHA-1 أو
أفضل + جميع MACs
الحديثة (Poly1305
إلخ.)
•المنحنيات:
جميع
الأعداد
الأولية >= 255
بت (بما في
ذلك
منحنيات Bernstein)
•خوارزميات
التوقيع: مع
تجزئة SHA-224 أو
أفضل (بدون
DSA)
•شفرات
TLS: مفتاح >= 128
بت، كتلة >= 128
بت (AES، ChaCha20،
بما في ذلك
AES-CBC)
•شفرات
غير TLS: مثل
شفرات TLS مع
إضافة Camellia
•تبادل
المفاتيح:
ECDHE، RSA، DHE
(بدون DHE-DSS)
•حجم
معاملات DH: >=
2048
•حجم
مفاتيح RSA: >= 2048
•بروتوكولات
TLS: TLS >= 1.2، DTLS >= 1.2
NEXT
سياسة NEXT
هي مجرد اسم
مستعار
لسياسة DEFAULT.
FUTURE
سياسة
أمنية
تحفظية
يُعتقد
أنها تصمد
أمام أي
هجمات
مستقبلية
قريبة على
حساب
قابلية
التشغيل
البيني. قد
تمنع
الاتصال
بالعديد من
الأنظمة
شائعة
الاستخدام
التي تقدم
أمانًا
أضعف فقط. لا
تسمح هذه
السياسة
باستخدام
SHA-1
في
خوارزميات
التوقيع.
توفر
السياسة
أيضًا بعض
التحضير
(غير الكامل)
لدعم
التشفير ما
بعد الكمي
في شكل
متطلب
تشفير
متماثل
بطول 256 بت.
تُقبل
معاملات
RSA
و
Diffie-Hellman إذا
كانت أكبر
من 3071 بت. توفر
هذه
السياسة
أمانًا لا
يقل عن 128 بت.
•MACs: كل HMAC
مع SHA-256 أو
أفضل + كل MACs
الحديثة (Poly1305
إلخ.)
•المنحنيات:
جميع
الأعداد
الأولية >= 255
بت (بما في
ذلك
منحنيات Bernstein)
•خوارزميات
التوقيع: مع
تجزئة SHA-256 أو
أفضل (بدون
DSA)
•شفرات
TLS: مفتاح >= 256
بت، كتلة >= 128
بت، شفرات
التشفير
الموثّق (AE)
فقط
•شفرات
غير TLS: نفس
شفرات TLS مع
إضافة
شفرات غير AE و
Camellia
•تبادل
المفاتيح:
ECDHE، DHE (بدون
DHE-DSS، بدون RSA)
•حجم
معاملات DH: >=
3072
•حجم
مفاتيح RSA: >= 3072
•بروتوكولات
TLS: TLS >= 1.2، DTLS >= 1.2
BSI
سياسة
أمان تستند
إلى توصيات
الوكالة
الحكومية
الألمانية BSI
(Bundesamt fuer Sicherheit in der Informationstechnik،
المترجمة
كـ "وكالة
الأمان في
تكنولوجيا
البرمجيات")
في مجموعة
قواعدها BSI TR 02102 (TR -
توصية
تقنية).
يُحدّث
معيار BSI TR 02102 على
فترات
منتظمة.
لا تسمح هذه السياسة باستخدام *SHA-1* في خوارزميات التوقيع
(باستثناء *DNSSEC* و*RPM*).
كما توفر هذه السياسة بعض الاستعدادات (غير الكاملة) لدعم
التشفير ما بعد الكمومي في شكل متطلبات التشفير المتماثل
بمعدل 256 بت.
تُقبل معلمات *RSA* إذا تجاوزت 2047 بت، و
تُقبل معلمات *Diffie-Hellman* إذا تجاوزت 3071 بت.
توفر هذه السياسة أمانًا لا يقل عن 128 بت، باستثناء المرحلة الانتقالية
لـ *RSA*.
•MACs: كل HMAC
مع SHA-256 أو
أفضل + كل MACs
الحديثة
•المنحنيات:
جميع
الأعداد
الأولية >= 255
بت (بما في
ذلك
منحنيات Bernstein)
•خوارزميات
التوقيع: مع
تجزئة SHA-256 أو
أفضل (بدون
DSA)
•شفرات
TLS: مفتاح >= 256
بت، كتلة >= 128
بت، شفرات
التشفير
الموثّق (AE)
فقط
•شفرات
غير TLS: نفس
شفرات TLS مع
إضافة
شفرات غير AE
•تبادل
المفاتيح:
ECDHE، DHE (بدون
DHE-DSS، بدون RSA)
•حجم
معاملات DH: >=
3072
•حجم
مفاتيح RSA: >= 2048
(حتى نهاية
2023، ثم يتحول
إلى 3072)
•بروتوكولات
TLS:
TLS >= 1.2،
DTLS >= 1.2
يرجى ملاحظة أنه مقارنةً بالملفات الشخصية الأخرى، لا يُوصى بـ *Chacha20* و*Camellia*من قِبل BSI.
FIPS
سياسة
للمساعدة
في
الامتثال
لمتطلبات
FIPS
140. تُستخدم
هذه
السياسة
داخليًا
بواسطة
أداة
fips-mode-setup(8)
التي
يمكنها
تحويل
النظام إلى
وضع
FIPS 140. توفر
هذه
السياسة
أمانًا لا
يقل عن 112 بت.
•MACs: كل HMAC
مع SHA1 أو
أفضل
•المنحنيات:
كل الأعداد
الأولية >= 256
بت، ML-KEM هجين
•خوارزميات
التوقيع: مع
تجزئة SHA-256 أو
أفضل (بدون
DSA)، ML-DSA نقي
•شفرات
TLS: مفتاح >= 128
بت، كتلة >= 128
بت (AES، بما في
ذلك AES-CBC)
•شفرات
غير TLS: نفس
شفرات TLS
•تبادل
المفاتيح:
ECDHE، DHE (بدون
DHE-DSS، بدون RSA)،
KEM-ECDH
•حجم
معاملات DH: >=
2048
•حجم
معاملات RSA: >=
2048
•بروتوكولات
TLS: TLS >= 1.2، DTLS >= 1.2
فارغ
جميع
الخوارزميات
التشفيرية
معطلة
(تُستخدم
لأغراض
التصحيح
فقط، لا
تُستخدم).
تنسيق تعريف سياسة التشفير¶
ملفات
تعريف
سياسة
التشفير
لها بناء
جملة بسيط
يتبع بناء
جملة ملف INI
بصيغة
مفتاح =
قيمة مع
هذه
الميزات
الخاصة:
•التعليقات
يُشار
إليها بحرف
#. كل شيء في
السطر بعد
الحرف
يُتجاهل.
•حرف
الخط
المائل
العكسي \
متبوعًا
فورًا بحرف
نهاية
السطر يشير
إلى
استمرار
السطر.
السطر
التالي
يُدمج مع
السطر
الحالي بعد
إزالة حرفي
الخط
المائل
العكسي
ونهاية
السطر.
•أنواع
القيم
للخيارات
الصحيحة
يمكن أن
تكون
أعدادًا
صحيحة
عشرية (خيار
= 1).
•الخيارات
متعددة
الاختيار
يمكن
تحديدها
بتعيينها
لقائمة من
القيم (خيار
= قيمة1 قيمة2).
هذه
القائمة
يمكن
تعديلها
بإضافة/حذف/إلحاق
القيم (خيار
= مضاف
-محذوف
ملحق).
إعادة
تعيين
لاحقة
ستعيد ضبط
القائمة.
بناء
الجملة
الأخير لا
يمكن دمجه
مع الأول في
نفس
التوجيه.
تعيين خيار
لقائمة
فارغة ممكن
باستخدام
خيار =.
•علامة
النجمة
يمكن
استخدامها
لمطابقة
أحرف البدل
كاختصار
لتحديد قيم
متعددة عند
تعيين
خيارات
متعددة
الاختيار.
لاحظ أن
مطابقة
أحرف البدل
قد تؤدي إلى
تحديثات
مستقبلية
تُمكّن
ضمنيًا
خوارزميات
غير متوفرة
بعد في
الإصدار
الحالي. إذا
كان هذا
مصدر قلق،
لا تستخدم
مطابقة
أحرف البدل
خارج
توجيهات
حذف
الخوارزميات.
•لتحديد
نطاق
التوجيه
وجعله يؤثر
فقط على بعض
الواجهات
الخلفية،
يمكن
استخدام
بناء
الجملة
الموسع
التالي:
خيار@نطاق =
...,
خيار@{نطاق1,نطاق2,...}
= .... نفي
النطاقات
ممكن
باستخدام
خيار@!نطاق /
'خيار@{نطاق1,نطاق2,...}.
محددات
النطاق غير
حساسة
لحالة
الأحرف.
الخيارات
المتاحة
هي:
•mac:
قائمة
خوارزميات MAC
المسموح
بها
•group:
قائمة
المجموعات
أو
المنحنيات
الإهليلجية
المسموح
بها لتبادل
المفاتيح
للاستخدام
مع
البروتوكولات
الأخرى
•hash:
قائمة
خوارزميات
التجزئة
التشفيرية
(ملخص
الرسالة)
المسموح
بها
•sign:
قائمة
خوارزميات
التوقيع
المسموح
بها
•cipher:
قائمة
خوارزميات
التشفير
المتماثل
المسموح
بها (بما في
ذلك
الأوضاع)
للاستخدام
مع
البروتوكولات
الأخرى
•key_exchange:
قائمة
خوارزميات
تبادل
المفاتيح
المسموح
بها
•protocol:
قائمة
إصدارات
بروتوكولات
TLS وDTLS وIKE
المسموح
بها؛ ضع في
اعتبارك أن
بعض
الواجهات
الخلفية لا
تسمح
بتعطيل
إصدارات
البروتوكولات
بشكل
انتقائي
وتستخدم
فقط
الإصدار
الأقدم كحد
أدنى.
•min_dh_size:
قيمة صحيحة
للحد
الأدنى
لعدد بتات
المعلمات
لتبادل
المفاتيح
DH
•min_dsa_size:
قيمة صحيحة
للحد
الأدنى
لعدد بتات
مفاتيح DSA
•min_rsa_size:
قيمة صحيحة
للحد
الأدنى
لعدد بتات
مفاتيح RSA
•min_ec_size:
قيمة صحيحة
للحد
الأدنى
لعدد بتات
مفاتيح EC
(ينطبق على
الواجهة
الخلفية Java
فقط)
•sha1_in_certs:
قيمة 1 إذا
كان SHA1
مسموحًا به
في توقيعات
الشهادات، 0
خلاف ذلك
(ينطبق على
الواجهة
الخلفية GnuTLS
فقط.)
•arbitrary_dh_groups:
قيمة 1 إذا
كانت
المجموعة
العشوائية
في Diffie-Hellman
مسموحًا
بها، 0 خلاف
ذلك
•ssh_certs:
قيمة 1 إذا
كان
الاستيثاق
بشهادة OpenSSH
مسموحًا
به، 0 خلاف
ذلك
•etm:
ANY/DISABLE_ETM/DISABLE_NON_ETM
يسمح بكلا
من EtM (تشفير
ثم MAC) وE&M
(تشفير وMAC)،
ويعطل EtM،
ويعطل E&M على
التوالي.
(مُطبَّق
حالياً فقط
لـ SSH، لا
تستخدم
بدون نطاق
@SSH.)
ملفات
تعريف
السياسة
الكاملة
لها
اللاحقة .pol،
وملفات
السياسة
الفرعية
لها
اللاحقة .pmod.
لا يجب أن
تحتوي
السياسات
الفرعية
على قيم
محددة
لجميع
المفاتيح
المذكورة
أعلاه.
التكوين
الفعّال
لسياسة مع
تطبيق
سياسات
فرعية هو
نفسه
التكوين من
سياسة
واحدة يتم
الحصول
عليها عن
طريق دمج
السياسة
والسياسات
الفرعية
المعنية.
وضع
ملفات
السياسة
وتسميتها:
ملفات
السياسة
المرفقة في
الحزم توضع
في /usr/share/crypto-policies/policies
والسياسات
الفرعية في
/usr/share/crypto-policies/policies/modules.
ملفات
السياسة
المكوّنة
محلياً يجب
وضعها في
/etc/crypto-policies/policies
والسياسات
الفرعية في
/etc/crypto-policies/policies/modules.
يجب أن
تكون أسماء
ملفات
السياسة
والسياسة
الفرعية
بأحرف
كبيرة
باستثناء
اللاحقة .pol و.pmod
حيث أن أمر
update-crypto-policies يحوّل
اسم
السياسة
آلياً إلى
أحرف كبيرة
قبل البحث
عن السياسة
في نظام
الملفات.
الأوامر¶
update-crypto-policies(8)
هذا
الأمر يدير
السياسات
المتاحة
لمختلف
النهايات
الخلفية
للتشفير
ويسمح
لمدير
النظام
بتغيير
سياسة
التشفير
النشطة.
fips-mode-setup(8)
يسمح هذا
الأمر
لمسؤول
النظام
بتمكين أو
تعطيل وضع FIPS
للنظام
وكذلك
تطبيق
سياسة
التشفير FIPS
التي تحد من
الخوارزميات
والبروتوكولات
المسموح
بها إلى تلك
المسموح
بها بواسطة
متطلبات FIPS 140.
ملاحظات¶
استثناءات
معروفة
بارزة
•تطبيقات
لغة Go لا
تتبع بعد
السياسة
على مستوى
النظام.
•تطبيق
GnuPG-2 لا يتبع
السياسة
على مستوى
النظام.
بشكل عام،
فقط
البيانات
قيد النقل
مشمولة
حالياً
بالسياسة
على مستوى
النظام.
إذا غيّر
مدير
النظام
السياسة
على مستوى
النظام
باستخدام
أمر update-crypto-policies(8)،
فمن
المستحسن
إعادة
تشغيل
النظام حيث
أن مكتبات
النهايات
الخلفية
الفردية
تقرأ ملفات
التكوين
عادةً
أثناء
تهيئتها.
وبالتالي،
تحدث
التغييرات
في السياسة
في معظم
الحالات
فقط عند
إعادة
تشغيل
التطبيقات
التي
تستخدم
مكتبات
النهايات
الخلفية.
مجموعات
التشفير
والبروتوكولات
المُزالة
مجموعات
التشفير
والبروتوكولات
التالية
مُزالة
بالكامل من
مكتبات
التشفير
الأساسية
المذكورة
أعلاه:
•DES
•جميع
مجموعات
التشفير من
فئة
التصدير
•MD5 في
التوقيعات
•SSLv2
•SSLv3
•جميع
منحنيات ECC
الأصغر من 224
بت
•جميع
منحنيات ECC
ذات الحقل
الثنائي
مجموعات
التشفير
والبروتوكولات
المُعطلة
في جميع
السياسات
المُعرّفة
مسبقاً
مجموعات
التشفير
والبروتوكولات
التالية
متاحة
ولكنها
مُعطلة في
جميع
سياسات
التشفير
المُعرّفة
مسبقاً:
•DH مع
معاملات < 1024
بت
•RSA بحجم
مفتاح < 1024 بت
•Camellia
•RC4
•ARIA
•SEED
•IDEA
•مجموعات
تشفير
التكامل
فقط
•مجموعات
تشفير TLS
وضع CBC
باستخدام
SHA-384 HMAC
•AES-CCM8
•جميع
منحنيات ECC
غير
المتوافقة
مع TLS 1.3، بما
في ذلك secp256k1
•IKEv1
مخالفات
ملحوظة في
مولدات
التهيئة
الفردية
•OpenSSL وNSS:
تعطيل جميع
إصدارات TLS
و/أو جميع
إصدارات DTLS
غير ممكن
فعليًا.
محاولة
القيام
بذلك ستؤدي
إلى تطبيق
المبدئيات
الخاصة
بالمكتبة
بدلاً من
ذلك.
•OpenSSL: يتم
فرض الحد
الأدنى
لطول
المفاتيح
وبعض
المعلمات
الأخرى
بواسطة
قيمة @SECLEVEL التي
لا توفر دقة
دقيقة. لا
يتم إنشاء
قائمة
تشفيرات TLS
كقائمة
دقيقة بل عن
طريق الطرح
من جميع
التشفيرات
المدعومة
لطرق تبادل
المفاتيح
الممكنة.
لهذا السبب
لا توجد
طريقة
لتعطيل
تشفير
عشوائي. على
وجه
الخصوص،
يتم تعطيل
جميع
تشفيرات AES-128
إذا لم يكن
AES-128-GCM موجودًا
في
القائمة؛
ويتم تعطيل
جميع
تشفيرات AES-256
إذا لم يكن
AES-256-GCM موجودًا.
يتم تعطيل
تشفيرات CBC
إذا لم يكن
هناك HMAC-SHA1 في
قائمة hmac وAES-256-CBC
في قائمة
التشفير.
لتعطيل
تشفيرات CCM،
يجب ألا
يكون كل من
AES-128-CCM وAES-256-CCM
موجودين في
قائمة
التشفير.
•GnuTLS: يتم
فرض الحد
الأدنى
لطول
المفاتيح
وبعض
المعلمات
الأخرى
بواسطة
إعداد min-verification-profile
في ملف
تهيئة GnuTLS
الذي لا
يوفر دقة
دقيقة.
•GnuTLS: يجب
تمكين
تبادلات
مفاتيح PSK
بشكل صريح
بواسطة
التطبيقات
التي
تستخدمها.
•GnuTLS: يتم
تعطيل MACs HMAC-SHA2-256
وHMAC-SHA2-384 بسبب
مخاوف بشأن
ثبات
التوقيت في
التنفيذ.
•OpenSSH: يتم
دائمًا
تعطيل
مجموعة DH 1
على الخادم
حتى لو كانت
السياسة
تسمح
بمجموعات DH
بحجم 1024 بت
بشكل عام.
يتم تعيين
خيار تهيئة
OpenSSH HostKeyAlgorithms فقط
لخادم SSH
وإلا فإن
معالجة
إدخالات
المضيفين
المعروفين
الحالية
ستنكسر على
العميل.
•Libreswan: لا
يؤثر معامل
key_exchange على
التهيئة
المولدة.
يمكن تقييد
استخدام DH
العادي أو ECDH
بإعداد
مناسب
لمعامل group.
•Sequoia: يتم
التحكم فقط
في hash_algorithms وsymmetric_algorithms
وasymmetric_algorithms وaead_algorithms
بواسطة
سياسات
التشفير. لا
يتم التحكم
في asymmetric_algorithms
مباشرة، بل
يُستنتج من
sign وgroup.
•OpenSSL: يتم
احترام
ترتيب قيم group
فقط ضمن
"فئات"
مجموعة PQ
والكلاسيكية،
ويتم فرز
جميع
مجموعات PQ
آليًا أعلى
من
المجموعات
الكلاسيكية.
لتحسين زمن
الوصول
أثناء
الاتصال
بمضيفين
مدركين لـ PQ
وغير
مدركين لـ PQ،
يتم إنشاء
ومشاركة
مفاتيح
لمجموعة PQ
ذات
الأولوية
العليا
ومجموعة
كلاسيكية
ذات
الأولوية
العليا.
لإعطاء
الأولوية
لمجموعات PQ
عندما يكون
كلاهما
مدعومًا،
تفضل
الخوادم
مجموعة PQ على
مجموعة
كلاسيكية
إذا كان
هناك تداخل
في أي من
مجموعات PQ.
•NSS: يتم
تجاهل
ترتيب قيم group
ويُستخدم
الترتيب
المدمج
بدلاً من
ذلك.
•NSS:
حاليًا هو
الوحيد
الذي يحترم
نطاقات pkcs12 /
pkcs12-import. pkcs12
يستلزم pkcs12-import،
وليس من
الممكن
السماح
بالتصدير
دون السماح
بالاستيراد.
ينطبق
الشيء نفسه
على نطاقات
smime / smime-import،
ومتغيراتها
الداخلية
المسبوقة
بـ nss-. لا
يمكن
استخدام
هذه
النطاقات
لتمكين
خوارزميات
التوقيع
التي لم تكن
ممكنة
بخلاف ذلك.
التاريخ¶
تم تقديم
خوارزميات
ECDHE-GSS وDHE-GSS
حديثًا
ويجب
تحديدها في
السياسة
الأساسية
لتمكين طرق
تبادل
مفاتيح SSH GSSAPI.
سابقًا،
كانت طرق
تبادل
مفاتيح SSH GSSAPI
القديمة
تُمكن
آليًا عند
تمكين
تجزئة SHA1
ومعاملات DH
بحجم 2048 بت
على الأقل.
قبل تقديم
دعم سياسات
التشفير
المخصصة،
كان من
الممكن
إنشاء
سياسة
تشفير
عشوائية
تمامًا
كمجموعة من
ملفات
تهيئة
النهاية
الخلفية
العشوائية
في دليل
/usr/share/crypto-policies/<POLICYNAME>. مع
تقديم
سياسات
التشفير
المخصصة،
لا يزال ذلك
ممكنًا
ولكن يجب أن
يكون هناك
ملف <POLICYNAME>.pol
فارغ (ربما
مع أي أسطر
تعليق) في
/usr/share/crypto-policies/policies حتى
يتمكن أمر
update-crypto-policies من
التعرف على
السياسة
المخصصة
العشوائية.
لا يجب
استخدام أي
سياسات
فرعية مع
مثل هذه
السياسة
المخصصة
العشوائية.
سيتم إلحاق
التعديلات
من local.d
بالملفات
المقدمة من
السياسة.
يُثبط
استخدام
الخيارات
التالية
المتاحة
تاريخيًا:
•min_tls_version: أقل
إصدار
بروتوكول TLS
مسموح به
(الاستبدال
الموصى به:
protocol@TLS)
•min_dtls_version: أقل
إصدار
بروتوكول DTLS
مسموح به
(الاستبدال
الموصى به:
protocol@TLS)
الخيارات
التالية
مهملة،
يرجى إعادة
كتابة
سياساتك:
•ike_protocol:
قائمة
إصدارات
بروتوكول IKE
المسموح
بها
(الاستبدال
الموصى به:
protocol@IKE، انتبه
للموضع
النسبي
لتوجيهات
protocol الأخرى).
•tls_cipher:
قائمة
خوارزميات
التشفير
المتناظر
المسموح
بها
للاستخدام
مع
بروتوكول TLS
(الاستبدال
الموصى به:
cipher@TLS، انتبه
للموضع
النسبي
لتوجيهات cipher
الأخرى).
•ssh_cipher:
قائمة
خوارزميات
التشفير
المتناظر
المسموح
بها
للاستخدام
مع
بروتوكول SSH
(الاستبدال
الموصى به:
cipher@SSH، انتبه
للموضع
النسبي
لتوجيهات cipher
الأخرى).
•ssh_group:
قائمة
المجموعات
أو
المنحنيات
الإهليلجية
المسموح
بها لتبادل
المفاتيح
للاستخدام
مع
بروتوكول SSH
(الاستبدال
الموصى به:
group@SSH، انتبه
للموضع
النسبي
لتوجيهات group
الأخرى).
•sha1_in_dnssec:
السماح
باستخدام SHA1
في
بروتوكول DNSSec
حتى لو لم
يكن
موجودًا في
قائمتي hash
وsign
(الاستبدالات
الموصى بها:
hash@DNSSec، sign@DNSSec).
•ssh_etm:
القيمة 1 إذا
كان امتداد
OpenSSH EtM (تشفير ثم
MAC) مسموحًا
به، وإلا 0.
استخدم etm@SSH
بدلاً من
ذلك.
الملفات¶
/etc/crypto-policies/back-ends
ملفات
تهيئة
النهاية
الخلفية
التشفيرية
الفردية.
عادةً ما
تكون
مرتبطة
بالتهيئة
المرفوعة
في حزمة crypto-policies
ما لم يتم
إضافة
تهيئة من local.d.
/etc/crypto-policies/config
ملف
يحتوي على
اسم مجموعة
سياسات
التشفير
النشطة على
النظام.
/etc/crypto-policies/local.d
تهيئة
إضافية
مرفوعة
بواسطة حزم
أخرى أو
منشأة
بواسطة
مسؤول
النظام. يتم
إلحاق
محتويات
<back-end>-file.config
بالتهيئة
من النهاية
الخلفية
للسياسة
كما هي
مرفوعة في
حزمة crypto-policies.
/usr/share/crypto-policies/policies
ملفات
تعريف
سياسات
النظام.
/usr/share/crypto-policies/policies/modules
ملفات
تعريف
السياسات
الفرعية
للنظام.
/etc/crypto-policies/policies
ملفات
تعريف
سياسات
مخصصة كما
تم تكوينها
بواسطة
مسؤول
النظام.
/etc/crypto-policies/policies/modules
ملفات
تعريف
سياسات
فرعية
مخصصة كما
تم تكوينها
بواسطة
مسؤول
النظام.
/usr/share/crypto-policies/<'POLICYNAME'>
تهيئات
نهاية
خلفية
مسبقة
التوليد
لسياسة POLICYNAME.
ترجمة¶
تُرجمت
هذه الصفحة
من الدليل
بواسطة
زايد
السعيدي
<zayed.alsaidi@gmail.com>
هذه
الترجمة هي
وثيقة
مجانية؛
راجع
رخصة
جنو العامة
الإصدار 3
أو ما بعده
للاطلاع
على شروط
حقوق النشر.
لا توجد أي
ضمانات.
إذا وجدت
أي أخطاء في
ترجمة صفحة
الدليل
هذه، يرجى
إرسال بريد
إلكتروني
إلى قائمة
بريد
المترجمين:
kde-l10n-ar@kde.org.