NUME¶
crypto-policies - prezentare generală a politicilor de
criptare la nivel de sistem
DESCRIERE¶
Securitatea componentelor criptografice ale sistemului de operare
nu rămâne constantă în timp. Algoritmii, precum
sumele de control și criptarea criptografică, au de obicei o
durată de viață, după care sunt
considerați fie prea riscanți pentru a fi utilizați,
fie pur și simplu nesiguri. Aceasta înseamnă că
trebuie să eliminăm treptat astfel de algoritmi din
configurațiile implicite sau să îi dezactivăm
complet dacă ar putea cauza o problemă ireparabilă.
În timp ce în trecut algoritmii nu erau
dezactivați în mod consecvent, iar diferite aplicații
aplicau politici diferite, politicile de criptare la nivel de sistem urmate
de componentele de bază ale criptării permit deprecierea
și dezactivarea consecventă a algoritmilor la nivel de
sistem.
Mai multe politici preconfigurate (DEFAULT, LEGACY,
FUTURE și FIPS) și subpolitici sunt incluse
în pachetul crypto-policies(7). Administratorii de sistem sau
furnizorii terți pot defini politici și subpolitici
personalizate.
Modul recomandat de a modifica configurația efectivă
este de a aplica o subpolitică personalizată peste o
politică predefinită. Acest lucru permite configurației
să evolueze odată cu actualizările viitoare ale
politicilor predefinite, păstrând modificările dorite
în vigoare. Modificarea configurației efective prin definirea
unei politici complet personalizate împiedică
configurația să evolueze odată cu actualizările
viitoare ale politicilor predefinite. Sintaxa pentru definirea politicilor
și subpoliticilor personalizate este descrisă în
secțiunea FORMATUL DEFINIȚIEI POLITICII DE CRIPTARE de mai
jos.
Pentru justificare, a se vedea RFC 7457 pentru o
listă de atacuri care profită de algoritmii de criptare
tradiționali.
APLICAȚII ACOPERITE¶
Politicile criptografice se aplică configurației
subsistemelor criptografice de bază, acoperind protocoalele
TLS, IKE, IPSec, DNSSec și
Kerberos; adică, protocoalele de comunicații securizate
acceptate în sistemul de operare de bază.
Odată ce o aplicație rulează în
sistemul de operare, aceasta urmează politica implicită sau
selectată și refuză să recurgă la
algoritmi și protocoale care nu fac parte din politică, cu
excepția cazului în care utilizatorul a solicitat în
mod explicit aplicației să facă acest lucru. Cu alte
cuvinte, politica se aplică comportamentului implicit al
aplicațiilor atunci când rulează cu configurația
furnizată de sistem, dar utilizatorul o poate anula în
funcție de specificul aplicației.
Politicile oferă în prezent opțiuni pentru
aceste aplicații și biblioteci:
•BIND Demonul serverului de nume DNS
(domenii de aplicare: BIND, DNSSec)
•Biblioteca TLS GnuTLS (domenii de
aplicare: GnuTLS, SSL, TLS)
•Mediul de execuție OpenJDK (domenii
de aplicare: java-tls, SSL, TLS)
•Biblioteca Kerberos 5 (domenii de
aplicare: krb5, Kerberos)
•Libreswan Implementarea protocoalelor
IPsec și IKE (domenii de aplicare: libreswan, IPSec,
IKE)
•Biblioteca TLS NSS (domenii de aplicare:
NSS; scopurile specifice de utilizare a algoritmilor sunt de asemenea
afectate de domeniile de aplicare SSL, TLS, pkcs12,
pkcs12-import, smime, smime-import și de
utilizarea internă nss-tls, nss-pkcs12,
nss-pkcs12-import, nss-smime și
nss-smime-import).
•OpenSSH Implementarea protocolului SSH2
(domenii de aplicare: OpenSSH, SSH)
•Biblioteca TLS OpenSSL (domenii de
aplicare: OpenSSL, SSL, TLS)
•libssh Implementarea protocolului SSH2
(domenii de aplicare: libssh, SSH)
•Implementarea PGP sequoia, pentru
utilizare în afara rpm-sequoia (domenii de aplicare:
sequoia)
•rpm-sequoia Motorul PGP RPM Sequoia
(domeniul de aplicare: rpm, rpm-sequoia)
Aplicațiile care utilizează bibliotecile și
instrumentele de mai sus sunt acoperite de politicile criptografice, cu
excepția cazului în care sunt configurate explicit altfel.
POLITICI FURNIZATE¶
LEGACY
Această politică asigură
compatibilitatea maximă cu sistemele vechi; este mai puțin
sigură și include suport pentru protocoalele
TLS 1.0,
TLS 1.1 și
SSH2 sau ulterior. Algoritmii
DSA
și
3DES sunt permiși, în timp ce parametrii
RSA și
Diffie-Hellman sunt acceptați dacă
sunt mai mari de 1024 biți. Această politică
asigură o securitate de cel puțin 64 de biți.
•MAC-uri: toate HMAC cu SHA-1 sau
mai bune + toate MAC-urile moderne (Poly1305, etc.)
•Curbe: toate numerele prime >= 255 de
biți (inclusiv curbele Bernstein)
•Algoritmi de semnătură: cu algoritm
de sumă de control SHA1 sau mai bun (DSA permis)
•Cifrări TLS: toate cheile
disponibile >= 112 biți, bloc >= 128 de biți (inclusiv
3DES și excluzând RC4)
•Cifrări Non-TLS: aceleași ca
și cifrările TLS cu algoritmul Camellia
adăugat
•Schimb de chei: ECDHE, RSA,
DHE
•Dimensiunea parametrilor DH: >=
1024
•Dimensiunea cheilor RSA: >= 1024
•Dimensiunea parametrilor DSA: >=
1024
•Protocoale TLS: TLS >= 1.0,
DTLS >= 1.0
DEFAULT
Politica
DEFAULT este o politică
implicită rezonabilă pentru standardele actuale. Aceasta permite
protocoalele
TLS 1.2 și
TLS 1.3, precum și
IKEv2 și
SSH2. Parametrii
Diffie-Hellman sunt
acceptați dacă au o lungime de cel puțin 2048
biți. Această politică asigură o securitate de cel
puțin 112 biți, cu excepția autorizării
semnăturilor
SHA-1 în DNSSec, unde acestea sunt
încă răspândite.
•MAC-uri: toate HMAC cu SHA-1 sau
mai bune + toate MAC-urile moderne (Poly1305, etc.)
•Curbe: toate numerele prime >= 255 de
biți (inclusiv curbele Bernstein)
•Algoritmi de semnătură: cu algoritm
de sumă de control SHA-224 sau mai bun (nu DSA)
•Cifrări TLS: cheie pe >= 128 de
biți, bloc >= 128 de biți (AES, ChaCha20,
inclusiv AES-CBC)
•Cifrări non-TLS: Cifrări precum
TLS cu Camellia adăugată
•Schimb de chei: ECDHE, RSA,
DHE (fără DHE-DSS)
•Dimensiunea parametrilor DH: >=
2048
•Dimensiunea cheilor RSA: >= 2048
•Protocoale TLS: TLS >= 1.2,
DTLS >= 1.2
NEXT
Politica NEXT este doar un alias pentru politica
DEFAULT.
FUTURE
O politică de securitate conservatoare despre care
se crede că va rezista oricăror atacuri viitoare pe termen scurt
în detrimentul interoperabilității. Aceasta poate
împiedica comunicarea cu multe sisteme utilizate în mod
obișnuit care oferă doar o securitate mai slabă.
Această politică nu permite utilizarea lui
SHA-1
în algoritmii de semnătură. Politica prevede, de
asemenea, o anumită pregătire (nu completă) pentru
suportul de criptare post-cuantice sub forma cerinței de criptare
simetrică pe 256 de biți. Parametrii
RSA și
Diffie-Hellman sunt acceptați dacă sunt mai mari de 3071
biți. Această politică asigură o securitate de cel
puțin 128 de biți.
•MAC-uri: toate HMAC cu SHA-256 sau
mai bune + toate MAC-urile moderne (Poly1305, etc.)
•Curbe: toate numerele prime >= 255 de
biți (inclusiv curbele Bernstein)
•Algoritmi de semnătură: cu algoritm
de sumă de control SHA-256 sau mai bun (nu DSA)
•Cifrări TLS: cheie >= 256 de
biți, bloc >= 128 de biți, numai cifrări Authenticated
Encryption (AE, (criptare autentificată))
•Cifrări non-TLS: aceleași ca
și cifrările TLS cu adăugarea cifrărilor
non AE și Camellia
•Schimb de chei: ECDHE, DHE (nu
DHE-DSS, nu RSA)
•Dimensiunea parametrilor DH: >=
3072
•Dimensiunea cheilor RSA: >= 3072
•Protocoale TLS: TLS >= 1.2,
DTLS >= 1.2
BSI
O politică de securitate bazată pe
recomandările agenției guvernamentale germane BSI (Bundesamt
fuer Sicherheit in der Informationstechnik, tradus ca „agenția
pentru securitate în tehnologia software”) în setul
său de norme BSI TR 02102 (TR - recomandare tehnică). Standardul
BSI TR 02102 este actualizat la intervale regulate.
Această politică nu permite utilizarea *SHA-1* în algoritmii de semnătură
(cu excepția *DNSSEC* și *RPM*).
Politica prevede, de asemenea, o anumită pregătire (nu completă) pentru
suportul de criptare post-cuantice sub forma unei cerințe de criptare
simetrică pe 256 de biți.
Parametrii *RSA* sunt acceptați dacă sunt mai mari de 2047 de biți, iar
parametrii *Diffie-Hellman* sunt acceptați dacă sunt mai mari de 3071 de biți.
Această politică asigură o securitate de cel puțin 128 de biți, cu
excepția tranziției *RSA*.
•MAC-uri: toate HMAC cu SHA-256 sau
mai bune + toate MAC-urile moderne
•Curbe: toate numerele prime >= 255 de
biți (inclusiv curbele Bernstein)
•Algoritmi de semnătură: cu algoritm
de sumă de control SHA-256 sau mai bun (nu DSA)
•Cifrări TLS: cheie >= 256 de
biți, bloc >= 128 de biți, numai cifrări Authenticated
Encryption (AE, (criptare autentificată))
•Cifrări non-TLS: aceleași ca
și cifrările TLS cu adăugarea cifrărilor
non AE
•Schimb de chei: ECDHE, DHE (nu
DHE-DSS, nu RSA)
•Dimensiunea parametrilor DH: >=
3072
•Dimensiunea cheilor RSA: >= 2048
(până la sfârșitul anului 2023, apoi va trece la
3072)
•Protocoale
TLS:
TLS >= 1.2,
DTLS >= 1.2
Rețineți că, în comparație cu alte profile, *Chacha20* și *Camellia* nu
sunt recomandate de BSI.
FIPS
O politică pentru a ajuta la conformitatea cu
cerințele
FIPS 140. Această politică este
utilizată intern de instrumentul
fips-mode-setup(8) care poate
comuta sistemul în modul
FIPS 140. Această
politică asigură o securitate de cel puțin 112
biți.
•MAC-uri: toate HMAC cu SHA1 sau mai
bun
•Curbe: toate numerele prime >= 256 de
biți
•Algoritmi de semnătură: cu algoritm
de sumă de control SHA-256 sau mai bun (nu DSA)
•Cifrări TLS: cheie >= 128 de
biți, bloc >= 128 de biți (AES, inclusiv
AES-CBC)
•Cifrări Non-TLS: aceleași ca
și cifrările TLS
•Schimb de chei: ECDHE, DHE (nu
DHE-DSS, nu RSA)
•Dimensiunea parametrilor DH: >=
2048
•Dimensiunea parametrilor RSA: >=
2048
•Protocoale TLS: TLS >= 1.2,
DTLS >= 1.2
EMPTY
Toți algoritmii criptografici sunt
dezactivați (utilizată numai pentru depanare, nu
utilizați).
Fișierele de definire a politicilor criptografice au o
sintaxă simplă care urmează sintaxa unui fișier
INI cheie = valoare cu aceste caracteristici
specifice:
•Comentariile sunt indicate prin caracterul
#. Tot ce se află pe linia care urmează caracterului este
ignorat.
•Caracterul de bară oblică
inversă \ urmat imediat de caracterul de sfârșit
de linie indică continuarea liniei. Următoarea linie este
concatenată la linia curentă după ce caracterele de
bară oblică și de sfârșit de linie sunt
eliminate.
•Tipurile de valori pentru opțiunile
întregi pot fi numere întregi zecimale (opțiune =
1).
•Opțiunile cu alegere multiplă pot
fi specificate prin stabilirea lor într-o listă de valori
(opțiune = valoare1 valoare2). Această listă poate
fi modificată în continuare prin
adăugarea/omiterea/aplicarea de valori (opțiune =
pre-adăugare -omitere_pre-adăugare). O reasignare
ulterioară va reinițializa lista. Ultima sintaxă nu poate
fi combinată cu prima în aceeași directivă.
Definirea unei opțiuni la o listă goală este
posibilă cu opțiune =.
•Semnul asterisc poate fi utilizat pentru
potrivirea caracterelor joker ca o scurtătură pentru
specificarea mai multor valori atunci când se definesc opțiuni
cu alegere multiplă. Rețineți că potrivirea
caracterelor joker poate face ca viitoarele actualizări să
activeze implicit algoritmi care nu sunt încă disponibili
în versiunea curentă. În cazul în care acest lucru
vă îngrijorează, nu utilizați potrivirea cu
caractere joker în afara directivelor de omitere a algoritmilor.
•Pentru a limita domeniul de aplicare al
directivei și a face ca aceasta să afecteze doar unele dintre
motoarele de criptare, se poate utiliza următoarea sintaxă
extinsă: opțiune@domeniu-aplicare = ...,
opțiunen@{domeniu-aplicare1,domeniu-aplicare2,...} = ....
Negarea domeniului de aplicare este posibilă cu
opțiune@!domeniu-aplicare /
'opțiune@{domeniu-aplicare1,domeniu-aplicare2,...}. Selectorii de
domeniu sunt insensibili la majuscule.
Opțiunile disponibile sunt:
•mac: lista algoritmilor MAC
permiși
•group: lista grupurilor sau a curbelor
eliptice permise pentru schimburile de chei pentru utilizarea cu alte
protocoale
•hash: lista algoritmilor criptografici de
sumă de control (message digest) autorizați
•sign: lista algoritmilor de
semnătură autorizați
•cipher: lista algoritmilor de criptare
simetrică autorizați (inclusiv modurile) pentru utilizarea cu
alte protocoale
•key_exchange: lista algoritmilor de schimb
de chei autorizați
•protocol: lista versiunilor permise ale
protocoalelor TLS, DTLS și IKE; rețineți că unele
motoare de criptare nu permit dezactivarea selectivă a versiunilor
protocoalelor și utilizează doar cea mai veche versiune ca
limită inferioară.
•min_dh_size: valoarea
întreagă a numărului minim de biți ai parametrilor
pentru schimbul de chei DH
•min_dsa_size: valoarea
întreagă a numărului minim de biți pentru cheile
DSA
•min_rsa_size: valoarea
întreagă a numărului minim de biți pentru cheile
RSA
•min_ec_size: valoarea
întreagă a numărului minim de biți pentru cheile
EC (se aplică numai motorului de criptare Java)
•sha1_in_certs: valoarea 1 dacă
SHA1 este permis în semnăturile certificatelor, 0
în caz contrar (se aplică numai motorului de criptare
GnuTLS)
•arbitrary_dh_groups: valoarea 1
dacă sunt permise grupuri arbitrare în Diffie-Hellman, 0
în caz contrar
•ssh_certs: valoarea 1 dacă este
permisă autentificarea certificatelor OpenSSH, 0 în caz
contrar
•etm:
ANY/DISABLE_ETM/DISABLE_NON_ETM permite atât EtM
(Encrypt-then-Mac) cât și E&M (Encrypt-and-Mac),
dezactivează EtM și respectiv dezactivează E&M;
în prezent, implementat numai pentru SSH, a nu se utiliza
fără domeniul de aplicare @SSH
Fișierele de definire a politicilor complete au sufixul
.pol, iar fișierele de subpolitici au sufixul .pmod . Subpoliticile
nu trebuie să aibă valori definite pentru toate cheile
enumerate mai sus.
Configurația efectivă a unei politici cu subpolitici
aplicate este aceeași ca o configurație dintr-o singură
politică obținută prin concatenarea politicii și
a subpoliticilor în cauză.
Politici de plasare și denumire a
fișierelor:
Fișierele de politică livrate în pachete sunt
plasate în „/usr/share/crypto-policies/policies”, iar
subpoliciile în
„/usr/share/crypto-policies/policies/modules”.
Fișierele de politici configurate local trebuie plasate
în „/etc/crypto-policies/policies” și
subpoliticile în
„/etc/crypto-policies/policies/modules”..
Fișierele de politici și subpolitici trebuie
să aibă numele în majuscule, cu excepția
extensiilor .pol și .pmod, deoarece comanda
update-crypto-policies convertește întotdeauna numele
politicii în majuscule înainte de a căuta politica
în sistemul de fișiere.
COMENZI¶
update-crypto-policies(8)
Această comandă gestionează
politicile disponibile pentru diferitele motoare criptografice și
permite administratorului de sistem să schimbe politica
criptografică activă.
fips-mode-setup(8)
Această comandă permite administratorului
de sistem să activeze sau să dezactiveze modul FIPS al
sistemului și, de asemenea, să aplice politica
criptografică FIPS care limitează algoritmii și
protocoalele permise la cele permise de cerințele FIPS 140.
NOTE¶
Excepții notabile cunoscute
•Aplicațiile limbajului-go nu
respectă încă politica la nivel de sistem.
•Aplicația GnuPG-2 nu
respectă politica la nivel de sistem.
În general, numai datele în tranzit sunt acoperite
în prezent de politica la nivel de sistem.
În cazul în care administratorul de sistem
modifică politica la nivel de sistem cu comanda
update-crypto-policies(8), este recomandabil să
reporniți sistemul, deoarece bibliotecile motoarelor de criptare
individuale citesc fișierele de configurare de obicei în
timpul inițializării lor. Prin urmare, modificările
politicii au loc în majoritatea cazurilor numai atunci când
aplicațiile care utilizează bibliotecile motoarelor de
criptare sunt repornite.
Protocoale și suite de cifrare eliminate
Următoarele suite de cifrare și protocoale sunt
complet eliminate din bibliotecile criptografice de bază enumerate
mai sus:
•DES
•Toate suitele de cifrări pentru
export
•MD5 în semnături
•SSLv2
•SSLv3
•Toate curbele ECC mai mici de 224 de
biți
•Toate curbele câmpului binar
ECC
Suite de cifrare și protocoale dezactivate în
toate politicile predefinite
Următoarele suite de cifrare și protocoale sunt
disponibile, dar dezactivate în toate politicile criptografice
predefinite:
•DH cu parametri < 1024 de
biți
•RSA cu dimensiunea cheii < 1024 de
biți
•Camellia
•RC4
•ARIA
•SEED
•IDEA
•Suite de cifrare numai pentru integritate
•Suite de cifrare TLS modul CBC
utilizând SHA-384 HMAC
•AES-CCM8
•Toate curbele ECC incompatibile cu TLS
1.3, inclusiv secp256k1
•IKEv1
Ineregularități notabile în
configurația individuală a generatoarelor
•OpenSSL și NSS: dezactivarea
tuturor versiunilor TLS și/sau DTLS nu este de fapt posibilă;
încercarea de a face acest lucru va duce la aplicarea în schimb
a valorilor implicite ale bibliotecii.
•OpenSSL: Lungimea minimă a cheilor
și a altor parametri este impusă de valoarea @SECLEVEL, care nu
oferă o precizie fină. Lista de cifrări TLS nu
este generată ca o listă exactă, ci prin scăderea
din toate cifrările acceptate pentru metodele de schimb de chei
activate. Din acest motiv, nu există nicio modalitate de a dezactiva o
cifrare aleatorie. În special, toate cifrările AES-128
sunt dezactivate dacă AES-128-GCM nu este prezentă
în listă; toate cifrările AES-256 sunt dezactivate
dacă AES-256-GCM nu este prezentă. Cifrările
CBC sunt dezactivate dacă există HMAC-SHA1
în lista hmac și AES-256-CBC în lista de cifruri.
Pentru a dezactiva cifrările CCM, atât
AES-128-CCM, cât și AES-256-CCM nu trebuie
să fie prezente în lista de cifruri.
•GnuTLS: lungimea minimă a cheilor
și unii alți parametri sunt impuși de valoarea
opțiunii min-verification-profile din fișierul de configurare
GnuTLS care nu oferă o reglare fină.
•GnuTLS: schimbările de chei PSK
trebuie activate explicit de către aplicațiile care le
utilizează.
•GnuTLS: MAC-urile HMAC-SHA2-256 și
HMAC-SHA2-384 sunt dezactivate din cauza preocupărilor privind
caracterul constant al implementării.
•OpenSSH: Grupul DH 1 este
întotdeauna dezactivat pe server chiar dacă politica permite
grupuri DH de 1024 de biți în general. Opțiunea de
configurare OpenSSH HostKeyAlgorithms este definită numai pentru
serverul SSH deoarece, în caz contrar, gestionarea
intrărilor existente privind gazdele cunoscute ar fi
întreruptă la client.
•Libreswan: parametrul key_exchange
nu afectează configurația generată; utilizarea
algoritmului DH sau ECDH obișnuit poate fi
limitată prin configurarea corespunzătoare a parametrului
group.
•Sequoia: numai hash_algorithms,
symmetric_algorithms și asymmetric_algorithms sunt
controlate de crypto-policies (politicile de criptare);
asymmetric_algorithms nu este controlat direct, ci este dedus din
sign și group.
•NSS: ordinea valorilor group este
ignorată și se utilizează în schimb ordinea
integrată.
•NSS: în prezent este singurul care
respectă domeniile pkcs12 / pkcs12-import. pkcs12
implică pkcs12-import, nu este posibil să se
permită exportul fără a permite importul. Același
lucru este valabil și pentru domeniile smime /
smime-import și variantele lor de utilizare internă
prefixate nss-. Aceste domenii de aplicare nu pot fi utilizate pentru
activarea algoritmilor de semnătură care nu au fost
activați altfel.
ISTORIC¶
Algoritmii ECDHE-GSS și DHE-GSS sunt
introduși recent și trebuie specificați în
politica de bază pentru ca metodele de schimb de chei SSH GSSAPI
să fie activate. Anterior, metodele vechi de schimb de chei SSH
GSSAPI erau activate automat atunci când parametrii SHA1 hash
și DH de cel puțin 2048 de biți erau
activați.
Înainte de introducerea suportului custom crypto
policies era posibil să existe o politică
criptografică complet arbitrară creată ca un set de
fișiere de configurare de motor de criptare arbitrare în
directorul „/usr/share/crypto-policies/<NUME_POLITICĂ>.
Odată cu introducerea custom crypto policies este
încă posibil, dar trebuie să existe un fișier
<NUME_POLITICĂ>.pol gol (eventual cu linii de comentariu)
în „/usr/share/crypto-policies/policies” astfel
încât comanda «update-crypto-policies» să
poată recunoaște politica personalizată
arbitrară. Nu trebuie utilizate subpolitici cu o astfel de
politică personalizată arbitrară. Modificările
din local.d vor fi adăugate la fișierele furnizate de
politică.
Utilizarea următoarelor opțiuni disponibile din
punct de vedere istoric este descurajată:
•min_tls_version: cea mai mică
versiune permisă a protocolului TLS (înlocuitor recomandat:
protocol@TLS)
•min_dtls_version: cea mai mică
versiune permisă a protocolului DTLS (înlocuitor recomandat:
protocol@TLS)
Următoarele opțiuni sunt depreciate, vă
rugăm să vă rescrieți politicile:
•ike_protocol: lista versiunilor de
protocol IKE permise (înlocuire recomandată:
protocol@IKE, atenție la poziția relativă
față de alte directive protocol)
•tls_cipher: listă de algoritmi de
criptare simetrică autorizați pentru utilizarea cu protocolul
TLS (înlocuire recomandată: cipher@TLS, atenție la
poziția relativă față de alte directive
cipher).
•ssh_cipher: listă de algoritmi de
criptare simetrică autorizați pentru utilizarea cu protocolul
SSH (înlocuire recomandată: cipher@SSH, atenție la
poziția relativă față de alte directive
cipher).
•ssh_group: lista grupurilor sau a curbelor
eliptice permise pentru schimburile de chei pentru utilizarea cu protocolul
SSH (înlocuire recomandată: group@SSH, atenție la
poziția relativă față de alte directive
group).
•sha1_in_dnssec: permite utilizarea
SHA1 în protocolul DNSSec chiar dacă nu este prezent
în listele hash și sign (înlocuiri
recomandate: hash@DNSSec, sign@DNSSec).
•ssh_etm: valoarea 1 dacă este
permisă extensia OpenSSH EtM (encrypt-then-mac), 0 în caz
contrar; utilizați etm@SSH în schimb.
FIȘIERE¶
/etc/crypto-policies/back-ends
Fișierele individuale de configurare a motorului
criptografic. De obicei legate de configurația livrată în
pachetul „crypto-policies”, cu excepția cazului în
care se adaugă o configurație din local.d .
/etc/crypto-policies/config
Un fișier care conține numele setului de
politici criptografice active în sistem.
/etc/crypto-policies/local.d
Configurație suplimentară furnizată
de alte pachete sau creată de administratorul sistemului.
Conținutul fișierului <back-end>.config este
adăugat la configurația motorului de criptare a politicii,
astfel cum este livrată în pachetul
„crypto-policies”.
/usr/share/crypto-policies/policies
Fișiere de definire a politicii sistemului.
/usr/share/crypto-policies/policies/modules
Fișiere de definire a subpoliticii
sistemului.
/etc/crypto-policies/policies
Fișiere personalizate de definire a politicilor,
configurate de administratorul de sistem.
/etc/crypto-policies/policies/modules
Fișiere personalizate de definire a subpolicilor,
configurate de administratorul de sistem.
/usr/share/crypto-policies/<'NUME_POLITICĂ'>
Configurații ale motorului de cifrare pre-generate
pentru politica NUME_POLITICĂ.
AUTOR¶
Scris de Tomáš Mráz.
TRADUCERE¶
Traducerea în limba română a acestui manual a
fost făcută de Remus-Gabriel Chelu
<remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită;
citiți
Licența
publică generală GNU Versiunea 3 sau o versiune
ulterioară cu privire la condiții privind drepturile de autor.
NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea
acestui manual, vă rugăm să trimiteți un e-mail
la
translation-team-ro@lists.sourceforge.net.