Scroll to navigation

CRYPTO-POLICIES(7)   CRYPTO-POLICIES(7)

الاسم

سياسات التشفير - نظرة عامة على سياسات التشفير على مستوى النظام

الوصف

أمان مكونات التشفير في نظام التشغيل لا يبقى ثابتًا مع مرور الوقت. الخوارزميات، مثل التجزئة التشفيرية والتشفير، عادةً ما يكون لها عمر افتراضي، وبعده تُعتبر إما خطيرة جدًا للاستخدام أو غير آمنة تمامًا. هذا يعني أننا نحتاج إلى إزالة هذه الخوارزميات تدريجيًا من الإعدادات المبدئية أو تعطيلها كليًا إذا كانت قد تسبب مشكلة لا يمكن إصلاحها.

بينما في الماضي لم يتم تعطيل الخوارزميات بطريقة متسقة وطبقت تطبيقات مختلفة سياسات مختلفة، فإن سياسات التشفير على مستوى النظام التي تتبعها مكونات التشفير الأساسية تسمح بإهمال وتعطيل الخوارزميات بشكل متسق على مستوى النظام.

عدة سياسات مسبقة التهيئة (DEFAULT، LEGACY، FUTURE، و FIPS) وسياسات فرعية مضمنة في حزمة crypto-policies(7). يمكن لمسؤولي النظام أو البائعين الخارجيين تعريف سياسات وسياسات فرعية مخصصة.

الطريقة الموصى بها لتعديل التهيئة الفعالة هي تطبيق سياسة فرعية مخصصة فوق سياسة محددة مسبقًا. هذا يسمح للتهيئة بالتطور مع التحديثات المستقبلية للسياسات المحددة مسبقًا مع الحفاظ على التعديل المطلوب في مكانه. تعديل التهيئة الفعالة بتعريف سياسة مخصصة بالكامل يمنع التهيئة من التطور مع التحديثات المستقبلية للسياسات المحددة مسبقًا. بناء الجملة لتعريف السياسات والسياسات الفرعية المخصصة موصوف في قسم تنسيق تعريف سياسة التشفير أدناه.

للاطلاع على الأساس المنطقي، انظر RFC 7457 للحصول على قائمة بالهجمات التي تستغل خوارزميات التشفير القديمة.

التطبيقات المشمولة

سياسات التشفير تنطبق على تهيئة الأنظمة الفرعية التشفيرية الأساسية، وتغطي بروتوكولات TLS، IKE، IPSec، DNSSec، و Kerberos؛ أي بروتوكولات الاتصالات الآمنة المدعومة على نظام التشغيل الأساسي.

بمجرد تشغيل تطبيق في نظام التشغيل، فإنه يتبع السياسة المبدئية أو المحددة ويرفض الرجوع إلى الخوارزميات والبروتوكولات غير الموجودة ضمن السياسة، إلا إذا طلب المستخدم صراحة من التطبيق القيام بذلك. أي أن السياسة تنطبق على السلوك المبدئي للتطبيقات عند تشغيلها مع التهيئة المقدمة من النظام ولكن يمكن للمستخدم تجاوزها على أساس خاص بالتطبيق.

السياسات توفر حاليًا إعدادات لهذه التطبيقات والمكتبات:

•خادم أسماء DNS BIND (النطاقات: BIND، DNSSec)

•مكتبة TLS GnuTLS (النطاقات: GnuTLS، SSL، TLS)

•بيئة تشغيل OpenJDK (النطاقات: java-tls، SSL، TLS)

•مكتبة Kerberos 5 (النطاقات: krb5، Kerberos)

•تنفيذ بروتوكول IPsec و IKE Libreswan (النطاقات: libreswan، IPSec، IKE)

•مكتبة TLS NSS (النطاقات: NSS؛ أغراض استخدام الخوارزميات المحددة تتأثر أيضًا بنطاقات SSL، TLS، pkcs12، pkcs12-import، smime، smime-import، ونطاقات الاستخدام الداخلي nss-tls، nss-pkcs12، nss-pkcs12-import، nss-smime و nss-smime-import.)

•تنفيذ بروتوكول SSH2 OpenSSH (النطاقات: OpenSSH، SSH)

•مكتبة TLS OpenSSL (النطاقات: OpenSSL، SSL، TLS)

•تنفيذ بروتوكول SSH2 libssh (النطاقات: libssh، SSH)

•تنفيذ PGP sequoia، للاستخدام خارج rpm-sequoia (النطاقات: sequoia)

•الواجهة الخلفية لـ RPM Sequoia PGP rpm-sequoia (النطاقات: rpm، rpm-sequoia)

التطبيقات التي تستخدم المكتبات والأدوات المذكورة أعلاه مشمولة بسياسات التشفير ما لم يتم تهيئتها صراحةً بشكل مختلف.

السياسات المقدمة

LEGACY

تضمن هذه السياسة أقصى توافق مع الأنظمة القديمة؛ وهي أقل أمانًا وتتضمن دعمًا لبروتوكولات TLS 1.0 وTLS 1.1 وSSH2 أو أحدث. يُسمح بالخوارزميات DSA و3DES، بينما تُقبل معاملات RSA وDiffie-Hellman إذا كانت أكبر من 1024 بت. توفر هذه السياسة أمانًا لا يقل عن 64 بت.

•MACs: جميع HMAC مع SHA-1 أو أفضل + جميع MACs الحديثة (Poly1305 إلخ.)

•المنحنيات: جميع الأعداد الأولية >= 255 بت (بما في ذلك منحنيات Bernstein)

•خوارزميات التوقيع: مع تجزئة SHA1 أو أفضل (يُسمح بـ DSA)

•شفرات TLS: جميع المتاحة بمفتاح >= 112 بت، وكتلة >= 128 بت (بما في ذلك 3DES، باستثناء RC4)

•شفرات غير TLS: نفس شفرات TLS مع إضافة Camellia

•تبادل المفاتيح: ECDHE، RSA، DHE

•حجم معاملات DH: >= 1024

•حجم مفاتيح RSA: >= 1024

•حجم معاملات DSA: >= 1024

•بروتوكولات TLS: TLS >= 1.0، DTLS >= 1.0

DEFAULT

سياسة DEFAULT هي سياسة مبدئية معقولة لمعايير اليوم. تسمح ببروتوكولات TLS 1.2 وTLS 1.3، بالإضافة إلى IKEv2 وSSH2. تُقبل معاملات Diffie-Hellman إذا كان طولها 2048 بت على الأقل. توفر هذه السياسة أمانًا لا يقل عن 112 بت مع استثناء السماح بتوقيعات SHA-1 في DNSSec حيث لا تزال سائدة.

•MACs: جميع HMAC مع SHA-1 أو أفضل + جميع MACs الحديثة (Poly1305 إلخ.)

•المنحنيات: جميع الأعداد الأولية >= 255 بت (بما في ذلك منحنيات Bernstein)

•خوارزميات التوقيع: مع تجزئة SHA-224 أو أفضل (بدون DSA)

•شفرات TLS: مفتاح >= 128 بت، كتلة >= 128 بت (AES، ChaCha20، بما في ذلك AES-CBC)

•شفرات غير TLS: مثل شفرات TLS مع إضافة Camellia

•تبادل المفاتيح: ECDHE، RSA، DHE (بدون DHE-DSS)

•حجم معاملات DH: >= 2048

•حجم مفاتيح RSA: >= 2048

•بروتوكولات TLS: TLS >= 1.2، DTLS >= 1.2

NEXT

سياسة NEXT هي مجرد اسم مستعار لسياسة DEFAULT.

FUTURE

سياسة أمنية تحفظية يُعتقد أنها تصمد أمام أي هجمات مستقبلية قريبة على حساب قابلية التشغيل البيني. قد تمنع الاتصال بالعديد من الأنظمة شائعة الاستخدام التي تقدم أمانًا أضعف فقط. لا تسمح هذه السياسة باستخدام SHA-1 في خوارزميات التوقيع. توفر السياسة أيضًا بعض التحضير (غير الكامل) لدعم التشفير ما بعد الكمي في شكل متطلب تشفير متماثل بطول 256 بت. تُقبل معاملات RSA وDiffie-Hellman إذا كانت أكبر من 3071 بت. توفر هذه السياسة أمانًا لا يقل عن 128 بت.

•MACs: كل HMAC مع SHA-256 أو أفضل + كل MACs الحديثة (Poly1305 إلخ.)

•المنحنيات: جميع الأعداد الأولية >= 255 بت (بما في ذلك منحنيات Bernstein)

•خوارزميات التوقيع: مع تجزئة SHA-256 أو أفضل (بدون DSA)

•شفرات TLS: مفتاح >= 256 بت، كتلة >= 128 بت، شفرات التشفير الموثّق (AE) فقط

•شفرات غير TLS: نفس شفرات TLS مع إضافة شفرات غير AE و Camellia

•تبادل المفاتيح: ECDHE، DHE (بدون DHE-DSS، بدون RSA)

•حجم معاملات DH: >= 3072

•حجم مفاتيح RSA: >= 3072

•بروتوكولات TLS: TLS >= 1.2، DTLS >= 1.2

BSI

سياسة أمان تستند إلى توصيات الوكالة الحكومية الألمانية BSI (Bundesamt fuer Sicherheit in der Informationstechnik، المترجمة كـ "وكالة الأمان في تكنولوجيا البرمجيات") في مجموعة قواعدها BSI TR 02102 (TR - توصية تقنية). يُحدّث معيار BSI TR 02102 على فترات منتظمة.

لا تسمح هذه السياسة باستخدام *SHA-1* في خوارزميات التوقيع
(باستثناء *DNSSEC* و*RPM*).

كما توفر هذه السياسة بعض الاستعدادات (غير الكاملة) لدعم
التشفير ما بعد الكمومي في شكل متطلبات التشفير المتماثل
بمعدل 256 بت.

تُقبل معلمات *RSA* إذا تجاوزت 2047 بت، و
تُقبل معلمات *Diffie-Hellman* إذا تجاوزت 3071 بت.

توفر هذه السياسة أمانًا لا يقل عن 128 بت، باستثناء المرحلة الانتقالية
لـ *RSA*.

•MACs: كل HMAC مع SHA-256 أو أفضل + كل MACs الحديثة

•المنحنيات: جميع الأعداد الأولية >= 255 بت (بما في ذلك منحنيات Bernstein)

•خوارزميات التوقيع: مع تجزئة SHA-256 أو أفضل (بدون DSA)

•شفرات TLS: مفتاح >= 256 بت، كتلة >= 128 بت، شفرات التشفير الموثّق (AE) فقط

•شفرات غير TLS: نفس شفرات TLS مع إضافة شفرات غير AE

•تبادل المفاتيح: ECDHE، DHE (بدون DHE-DSS، بدون RSA)

•حجم معاملات DH: >= 3072

•حجم مفاتيح RSA: >= 2048 (حتى نهاية 2023، ثم يتحول إلى 3072)

•بروتوكولات TLS: TLS >= 1.2، DTLS >= 1.2

يرجى ملاحظة أنه مقارنةً بالملفات الشخصية الأخرى، لا يُوصى بـ *Chacha20* و*Camellia*من قِبل BSI.

FIPS

سياسة للمساعدة في الامتثال لمتطلبات FIPS 140. تُستخدم هذه السياسة داخليًا بواسطة أداة fips-mode-setup(8) التي يمكنها تحويل النظام إلى وضع FIPS 140. توفر هذه السياسة أمانًا لا يقل عن 112 بت.

•MACs: كل HMAC مع SHA1 أو أفضل

•المنحنيات: كل الأعداد الأولية >= 256 بت، ML-KEM هجين

•خوارزميات التوقيع: مع تجزئة SHA-256 أو أفضل (بدون DSA)، ML-DSA نقي

•شفرات TLS: مفتاح >= 128 بت، كتلة >= 128 بت (AES، بما في ذلك AES-CBC)

•شفرات غير TLS: نفس شفرات TLS

•تبادل المفاتيح: ECDHE، DHE (بدون DHE-DSS، بدون RSA)، KEM-ECDH

•حجم معاملات DH: >= 2048

•حجم معاملات RSA: >= 2048

•بروتوكولات TLS: TLS >= 1.2، DTLS >= 1.2

فارغ

جميع الخوارزميات التشفيرية معطلة (تُستخدم لأغراض التصحيح فقط، لا تُستخدم).

تنسيق تعريف سياسة التشفير

ملفات تعريف سياسة التشفير لها بناء جملة بسيط يتبع بناء جملة ملف INI بصيغة مفتاح = قيمة مع هذه الميزات الخاصة:

•التعليقات يُشار إليها بحرف #. كل شيء في السطر بعد الحرف يُتجاهل.

•حرف الخط المائل العكسي \ متبوعًا فورًا بحرف نهاية السطر يشير إلى استمرار السطر. السطر التالي يُدمج مع السطر الحالي بعد إزالة حرفي الخط المائل العكسي ونهاية السطر.

•أنواع القيم للخيارات الصحيحة يمكن أن تكون أعدادًا صحيحة عشرية (خيار = 1).

•الخيارات متعددة الاختيار يمكن تحديدها بتعيينها لقائمة من القيم (خيار = قيمة1 قيمة2). هذه القائمة يمكن تعديلها بإضافة/حذف/إلحاق القيم (خيار = مضاف -محذوف ملحق). إعادة تعيين لاحقة ستعيد ضبط القائمة. بناء الجملة الأخير لا يمكن دمجه مع الأول في نفس التوجيه. تعيين خيار لقائمة فارغة ممكن باستخدام خيار =.

•علامة النجمة يمكن استخدامها لمطابقة أحرف البدل كاختصار لتحديد قيم متعددة عند تعيين خيارات متعددة الاختيار. لاحظ أن مطابقة أحرف البدل قد تؤدي إلى تحديثات مستقبلية تُمكّن ضمنيًا خوارزميات غير متوفرة بعد في الإصدار الحالي. إذا كان هذا مصدر قلق، لا تستخدم مطابقة أحرف البدل خارج توجيهات حذف الخوارزميات.

•لتحديد نطاق التوجيه وجعله يؤثر فقط على بعض الواجهات الخلفية، يمكن استخدام بناء الجملة الموسع التالي: خيار@نطاق = ..., خيار@{نطاق1,نطاق2,...} = .... نفي النطاقات ممكن باستخدام خيار@!نطاق / 'خيار@{نطاق1,نطاق2,...}. محددات النطاق غير حساسة لحالة الأحرف.

الخيارات المتاحة هي:

mac: قائمة خوارزميات MAC المسموح بها

group: قائمة المجموعات أو المنحنيات الإهليلجية المسموح بها لتبادل المفاتيح للاستخدام مع البروتوكولات الأخرى

hash: قائمة خوارزميات التجزئة التشفيرية (ملخص الرسالة) المسموح بها

sign: قائمة خوارزميات التوقيع المسموح بها

cipher: قائمة خوارزميات التشفير المتماثل المسموح بها (بما في ذلك الأوضاع) للاستخدام مع البروتوكولات الأخرى

key_exchange: قائمة خوارزميات تبادل المفاتيح المسموح بها

protocol: قائمة إصدارات بروتوكولات TLS وDTLS وIKE المسموح بها؛ ضع في اعتبارك أن بعض الواجهات الخلفية لا تسمح بتعطيل إصدارات البروتوكولات بشكل انتقائي وتستخدم فقط الإصدار الأقدم كحد أدنى.

min_dh_size: قيمة صحيحة للحد الأدنى لعدد بتات المعلمات لتبادل المفاتيح DH

min_dsa_size: قيمة صحيحة للحد الأدنى لعدد بتات مفاتيح DSA

min_rsa_size: قيمة صحيحة للحد الأدنى لعدد بتات مفاتيح RSA

min_ec_size: قيمة صحيحة للحد الأدنى لعدد بتات مفاتيح EC (ينطبق على الواجهة الخلفية Java فقط)

sha1_in_certs: قيمة 1 إذا كان SHA1 مسموحًا به في توقيعات الشهادات، 0 خلاف ذلك (ينطبق على الواجهة الخلفية GnuTLS فقط.)

arbitrary_dh_groups: قيمة 1 إذا كانت المجموعة العشوائية في Diffie-Hellman مسموحًا بها، 0 خلاف ذلك

ssh_certs: قيمة 1 إذا كان الاستيثاق بشهادة OpenSSH مسموحًا به، 0 خلاف ذلك

etm: ANY/DISABLE_ETM/DISABLE_NON_ETM يسمح بكلا من EtM (تشفير ثم MAC) وE&M (تشفير وMAC)، ويعطل EtM، ويعطل E&M على التوالي. (مُطبَّق حالياً فقط لـ SSH، لا تستخدم بدون نطاق @SSH.)

ملفات تعريف السياسة الكاملة لها اللاحقة .pol، وملفات السياسة الفرعية لها اللاحقة .pmod. لا يجب أن تحتوي السياسات الفرعية على قيم محددة لجميع المفاتيح المذكورة أعلاه.

التكوين الفعّال لسياسة مع تطبيق سياسات فرعية هو نفسه التكوين من سياسة واحدة يتم الحصول عليها عن طريق دمج السياسة والسياسات الفرعية المعنية.

وضع ملفات السياسة وتسميتها:

ملفات السياسة المرفقة في الحزم توضع في /usr/share/crypto-policies/policies والسياسات الفرعية في /usr/share/crypto-policies/policies/modules.

ملفات السياسة المكوّنة محلياً يجب وضعها في /etc/crypto-policies/policies والسياسات الفرعية في /etc/crypto-policies/policies/modules.

يجب أن تكون أسماء ملفات السياسة والسياسة الفرعية بأحرف كبيرة باستثناء اللاحقة .pol و.pmod حيث أن أمر update-crypto-policies يحوّل اسم السياسة آلياً إلى أحرف كبيرة قبل البحث عن السياسة في نظام الملفات.

الأوامر

update-crypto-policies(8)

هذا الأمر يدير السياسات المتاحة لمختلف النهايات الخلفية للتشفير ويسمح لمدير النظام بتغيير سياسة التشفير النشطة.

fips-mode-setup(8)

يسمح هذا الأمر لمسؤول النظام بتمكين أو تعطيل وضع FIPS للنظام وكذلك تطبيق سياسة التشفير FIPS التي تحد من الخوارزميات والبروتوكولات المسموح بها إلى تلك المسموح بها بواسطة متطلبات FIPS 140.

ملاحظات

استثناءات معروفة بارزة

•تطبيقات لغة Go لا تتبع بعد السياسة على مستوى النظام.

•تطبيق GnuPG-2 لا يتبع السياسة على مستوى النظام.

بشكل عام، فقط البيانات قيد النقل مشمولة حالياً بالسياسة على مستوى النظام.

إذا غيّر مدير النظام السياسة على مستوى النظام باستخدام أمر update-crypto-policies(8)، فمن المستحسن إعادة تشغيل النظام حيث أن مكتبات النهايات الخلفية الفردية تقرأ ملفات التكوين عادةً أثناء تهيئتها. وبالتالي، تحدث التغييرات في السياسة في معظم الحالات فقط عند إعادة تشغيل التطبيقات التي تستخدم مكتبات النهايات الخلفية.

مجموعات التشفير والبروتوكولات المُزالة

مجموعات التشفير والبروتوكولات التالية مُزالة بالكامل من مكتبات التشفير الأساسية المذكورة أعلاه:

DES

•جميع مجموعات التشفير من فئة التصدير

MD5 في التوقيعات

SSLv2

SSLv3

•جميع منحنيات ECC الأصغر من 224 بت

•جميع منحنيات ECC ذات الحقل الثنائي

مجموعات التشفير والبروتوكولات المُعطلة في جميع السياسات المُعرّفة مسبقاً

مجموعات التشفير والبروتوكولات التالية متاحة ولكنها مُعطلة في جميع سياسات التشفير المُعرّفة مسبقاً:

DH مع معاملات < 1024 بت

RSA بحجم مفتاح < 1024 بت

Camellia

RC4

ARIA

SEED

IDEA

•مجموعات تشفير التكامل فقط

•مجموعات تشفير TLS وضع CBC باستخدام SHA-384 HMAC

AES-CCM8

•جميع منحنيات ECC غير المتوافقة مع TLS 1.3، بما في ذلك secp256k1

IKEv1

مخالفات ملحوظة في مولدات التهيئة الفردية

OpenSSL وNSS: تعطيل جميع إصدارات TLS و/أو جميع إصدارات DTLS غير ممكن فعليًا. محاولة القيام بذلك ستؤدي إلى تطبيق المبدئيات الخاصة بالمكتبة بدلاً من ذلك.

OpenSSL: يتم فرض الحد الأدنى لطول المفاتيح وبعض المعلمات الأخرى بواسطة قيمة @SECLEVEL التي لا توفر دقة دقيقة. لا يتم إنشاء قائمة تشفيرات TLS كقائمة دقيقة بل عن طريق الطرح من جميع التشفيرات المدعومة لطرق تبادل المفاتيح الممكنة. لهذا السبب لا توجد طريقة لتعطيل تشفير عشوائي. على وجه الخصوص، يتم تعطيل جميع تشفيرات AES-128 إذا لم يكن AES-128-GCM موجودًا في القائمة؛ ويتم تعطيل جميع تشفيرات AES-256 إذا لم يكن AES-256-GCM موجودًا. يتم تعطيل تشفيرات CBC إذا لم يكن هناك HMAC-SHA1 في قائمة hmac وAES-256-CBC في قائمة التشفير. لتعطيل تشفيرات CCM، يجب ألا يكون كل من AES-128-CCM وAES-256-CCM موجودين في قائمة التشفير.

GnuTLS: يتم فرض الحد الأدنى لطول المفاتيح وبعض المعلمات الأخرى بواسطة إعداد min-verification-profile في ملف تهيئة GnuTLS الذي لا يوفر دقة دقيقة.

GnuTLS: يجب تمكين تبادلات مفاتيح PSK بشكل صريح بواسطة التطبيقات التي تستخدمها.

GnuTLS: يتم تعطيل MACs HMAC-SHA2-256 وHMAC-SHA2-384 بسبب مخاوف بشأن ثبات التوقيت في التنفيذ.

OpenSSH: يتم دائمًا تعطيل مجموعة DH 1 على الخادم حتى لو كانت السياسة تسمح بمجموعات DH بحجم 1024 بت بشكل عام. يتم تعيين خيار تهيئة OpenSSH HostKeyAlgorithms فقط لخادم SSH وإلا فإن معالجة إدخالات المضيفين المعروفين الحالية ستنكسر على العميل.

Libreswan: لا يؤثر معامل key_exchange على التهيئة المولدة. يمكن تقييد استخدام DH العادي أو ECDH بإعداد مناسب لمعامل group.

Sequoia: يتم التحكم فقط في hash_algorithms وsymmetric_algorithms وasymmetric_algorithms وaead_algorithms بواسطة سياسات التشفير. لا يتم التحكم في asymmetric_algorithms مباشرة، بل يُستنتج من sign وgroup.

OpenSSL: يتم احترام ترتيب قيم group فقط ضمن "فئات" مجموعة PQ والكلاسيكية، ويتم فرز جميع مجموعات PQ آليًا أعلى من المجموعات الكلاسيكية. لتحسين زمن الوصول أثناء الاتصال بمضيفين مدركين لـ PQ وغير مدركين لـ PQ، يتم إنشاء ومشاركة مفاتيح لمجموعة PQ ذات الأولوية العليا ومجموعة كلاسيكية ذات الأولوية العليا. لإعطاء الأولوية لمجموعات PQ عندما يكون كلاهما مدعومًا، تفضل الخوادم مجموعة PQ على مجموعة كلاسيكية إذا كان هناك تداخل في أي من مجموعات PQ.

NSS: يتم تجاهل ترتيب قيم group ويُستخدم الترتيب المدمج بدلاً من ذلك.

NSS: حاليًا هو الوحيد الذي يحترم نطاقات pkcs12 / pkcs12-import. pkcs12 يستلزم pkcs12-import، وليس من الممكن السماح بالتصدير دون السماح بالاستيراد. ينطبق الشيء نفسه على نطاقات smime / smime-import، ومتغيراتها الداخلية المسبوقة بـ nss-. لا يمكن استخدام هذه النطاقات لتمكين خوارزميات التوقيع التي لم تكن ممكنة بخلاف ذلك.

التاريخ

تم تقديم خوارزميات ECDHE-GSS وDHE-GSS حديثًا ويجب تحديدها في السياسة الأساسية لتمكين طرق تبادل مفاتيح SSH GSSAPI. سابقًا، كانت طرق تبادل مفاتيح SSH GSSAPI القديمة تُمكن آليًا عند تمكين تجزئة SHA1 ومعاملات DH بحجم 2048 بت على الأقل.

قبل تقديم دعم سياسات التشفير المخصصة، كان من الممكن إنشاء سياسة تشفير عشوائية تمامًا كمجموعة من ملفات تهيئة النهاية الخلفية العشوائية في دليل /usr/share/crypto-policies/<POLICYNAME>. مع تقديم سياسات التشفير المخصصة، لا يزال ذلك ممكنًا ولكن يجب أن يكون هناك ملف <POLICYNAME>.pol فارغ (ربما مع أي أسطر تعليق) في /usr/share/crypto-policies/policies حتى يتمكن أمر update-crypto-policies من التعرف على السياسة المخصصة العشوائية. لا يجب استخدام أي سياسات فرعية مع مثل هذه السياسة المخصصة العشوائية. سيتم إلحاق التعديلات من local.d بالملفات المقدمة من السياسة.

يُثبط استخدام الخيارات التالية المتاحة تاريخيًا:

min_tls_version: أقل إصدار بروتوكول TLS مسموح به (الاستبدال الموصى به: protocol@TLS)

min_dtls_version: أقل إصدار بروتوكول DTLS مسموح به (الاستبدال الموصى به: protocol@TLS)

الخيارات التالية مهملة، يرجى إعادة كتابة سياساتك:

ike_protocol: قائمة إصدارات بروتوكول IKE المسموح بها (الاستبدال الموصى به: protocol@IKE، انتبه للموضع النسبي لتوجيهات protocol الأخرى).

tls_cipher: قائمة خوارزميات التشفير المتناظر المسموح بها للاستخدام مع بروتوكول TLS (الاستبدال الموصى به: cipher@TLS، انتبه للموضع النسبي لتوجيهات cipher الأخرى).

ssh_cipher: قائمة خوارزميات التشفير المتناظر المسموح بها للاستخدام مع بروتوكول SSH (الاستبدال الموصى به: cipher@SSH، انتبه للموضع النسبي لتوجيهات cipher الأخرى).

ssh_group: قائمة المجموعات أو المنحنيات الإهليلجية المسموح بها لتبادل المفاتيح للاستخدام مع بروتوكول SSH (الاستبدال الموصى به: group@SSH، انتبه للموضع النسبي لتوجيهات group الأخرى).

sha1_in_dnssec: السماح باستخدام SHA1 في بروتوكول DNSSec حتى لو لم يكن موجودًا في قائمتي hash وsign (الاستبدالات الموصى بها: hash@DNSSec، sign@DNSSec).

ssh_etm: القيمة 1 إذا كان امتداد OpenSSH EtM (تشفير ثم MAC) مسموحًا به، وإلا 0. استخدم etm@SSH بدلاً من ذلك.

الملفات

/etc/crypto-policies/back-ends

ملفات تهيئة النهاية الخلفية التشفيرية الفردية. عادةً ما تكون مرتبطة بالتهيئة المرفوعة في حزمة crypto-policies ما لم يتم إضافة تهيئة من local.d.

/etc/crypto-policies/config

ملف يحتوي على اسم مجموعة سياسات التشفير النشطة على النظام.

/etc/crypto-policies/local.d

تهيئة إضافية مرفوعة بواسطة حزم أخرى أو منشأة بواسطة مسؤول النظام. يتم إلحاق محتويات <back-end>-file.config بالتهيئة من النهاية الخلفية للسياسة كما هي مرفوعة في حزمة crypto-policies.

/usr/share/crypto-policies/policies

ملفات تعريف سياسات النظام.

/usr/share/crypto-policies/policies/modules

ملفات تعريف السياسات الفرعية للنظام.

/etc/crypto-policies/policies

ملفات تعريف سياسات مخصصة كما تم تكوينها بواسطة مسؤول النظام.

/etc/crypto-policies/policies/modules

ملفات تعريف سياسات فرعية مخصصة كما تم تكوينها بواسطة مسؤول النظام.

/usr/share/crypto-policies/<'POLICYNAME'>

تهيئات نهاية خلفية مسبقة التوليد لسياسة POLICYNAME.

انظر أيضًا

update-crypto-policies(8), fips-mode-setup(8)

المؤلف

كتبه Tomáš Mráz.

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

11/11/2025 crypto-policies