Seguridad

La pila PARSEC está ahora disponible en Fedora

La Plataforma de Abstracción para Seguridad (PARSEC) es una iniciativa de código abierto que suministra una API común para el acceso seguro a las credenciales almacenadas en el hardware de forma independiente a la plataforma.

PARSEC sirve como una capa de abstracción que mantiene las cargas de trabajo desacopladas de los detalles físicos de la plataforma. Esto perite flujos de entrega nativos dentro del centro de datos y en el sector de computación exterior.

Después de que los usuarios instalen la pila PARSEC en la edición Fedora Workstation, el demonio PARSEC arrancará automáticamente durante el principio del proceso de arranque. En la edición Fedora IoTn, la instalación de la pila y el arranque del demonio se hace por el mismo SO.

Desde la perspectiva hardware, el demonio PARSEC puede utilizar actualmente un chip Trusted Platform Module 2 (TPM2), un dispositivo Hardware Security Module (HSM) o sistemas que tengan habilitada la tecnología Arm TrustZone.

Configuraciones Criptográficas Sólidas - Fase 2

Fedora 33 deshabilita:

  • Los Protocolos TLS más antiguos que la versión 1.2 versión, de modo que las versiones TLS 1.0 y 1.1 están ahora deshabilitadas de modo predeterminado.

  • Las firmas hash SHA en los protocolos TLS, SSH e IKE.

  • El intercambio de clave Diffie Hellman con un tamaño de parámetro menor de 2048 bits.

As a result Fedora 33 cannot communicate with legacy systems that support all the disabled entities which are outlined above.

If you want to communicate with legacy systems, you may:

  • Set the system wide crypto policy to LEGACY, by using the command below:

    ----      # update-crypto-policies --set LEGACY
* Or add the snippet below to your ssh config file (~/.ssh/config)
+
[source,shell]

Host <server-name>

PubkeyAcceptedKeyTypes ssh-rsa
* For Dovecot in RHEL/CentOS up to 7.8 (it is fixed in 7.9) set in
  /etc/pki/dovecot/dovecot-openssl.cnf:
+
[source, shell]

[ req ] default_bits = 3072

* The most secure method is to use Elliptic Curve Digital Signature Algorithm
  (ECDSA) to generate new ssh keys, as the methods above override Fedora 33
  new crypto polices rendering your system vulnerable.