Bisakah kita berasumsi bahwa orang yang mengatur sistem atau perangkat lunak adalah ahli di bidangnya dan mereka memahami detail algoritme kriptografi dan semua yang mereka siapkan aman dari penyerang? Apakah asumsi kita benar atau salah, penting bahwa sistem dan perangkat lunak beroperasi di bawah pengaturan kriptografi yang tepat. Dan apa yang saya maksud dengan pengaturan kriptografi yang benar? Pengaturan yang sesuai dengan standar yang diterima secara global, mencegah penggunaan protokol dan algoritme lama. Singkatnya, saya berbicara tentang kebijakan kripto di seluruh sistem.
Apa itu kebijakan kripto?
Kebijakan Kripto adalah paket yang mengonfigurasi subsistem kriptografi inti dengan mengaktifkan serangkaian kebijakan, yang dapat dipilih oleh administrator. Saat kebijakan kripto seluruh sistem diaktifkan, aplikasi dan layanan mematuhinya dan menolak protokol dan algoritme yang tidak memenuhi kebijakan.
Alat – update-crypto-policies
update-crypto-policies adalah perintah untuk mengelola kebijakan kriptografi seluruh sistem saat ini. Perintah tersebut diinstal oleh paket ‘crypto-policies-scripts ‘ di CentOS Stream 8. Namun, jika Anda tidak menemukan paket di OS Anda, maka instal seperti gambar di bawah ini:
Instal crypto-policies-scripts
# dnf -y install crypto-policies-scripts
(atau)
# yum -y install crypto-policies-scripts
Lihat kebijakan seluruh sistem saat ini
# update-crypto-policies --show DEFAULT
Setel/Ubah kebijakan di seluruh sistem
# update-crypto-policies --set FUTURE Setting system policy to FUTURE Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Seperti yang dijelaskan pada output di atas, mulai ulang sistem untuk menerapkan kebijakan kriptografi baru.
Jenis kebijakan Kriptografi yang didukung
DEFAULT, LEGACY, FUTURE, DAN FIPS adalah kebijakan yang dapat Anda atur menggunakan update-crypto-policies memerintah. Pelajari lebih lanjut tentang kebijakan kripto di sini.
Contoh aplikasi klien
Sekarang, asumsikan bahwa Anda telah menyetel kebijakan kripto seluruh sistem ke FUTURE dan lihat bagaimana aplikasi klien berperilaku terhadapnya.
Gunakan cURL untuk mengakses situs web yang menggunakan sertifikat SHA-1 yang lemah. Sementara kebijakan kripto disetel ke MASA DEPAN, cURL harus melarang sertifikat SHA-1 seperti yang ditunjukkan di bawah ini:
# curl https://sha1-intermediate.badssl.com curl: (60) SSL certificate problem: EE certificate key too weak More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
Mencoba SSH ke server dengan cipher yang lemah akan menghasilkan kesalahan seperti yang ditunjukkan di bawah ini:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] :::::::::::::::::::::::::::::::::::: Unable to negotiate with 192.168.141.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Pelajari cara menonaktifkan algoritme pertukaran kunci lemah, Mode CBC di SSH.
Dengan ini, kami memahami bahwa aplikasi klien dan server menghormati kebijakan kripto yang ditetapkan di seluruh sistem. Artinya, administrator tidak perlu khawatir tentang pengaturan algoritma dan protokol kriptografi yang tepat untuk setiap aplikasi.