Red Hat Enterprise Linux 7 получил сертификат безопасности FIPS 140-2

15.12.2016 19:14

Компания Red Hat сообщила о сертификации криптографических модулей дистрибутива Red Hat Enterprise Linux 7 (RHEL) на предмет соответствия стандарту безопасности FIPS 140-2. Ранее сертификация FIPS 140-2 была пройдена в 2013 году для ветки RHEL 6.x, но компоненты из ветки RHEL 7 оставалась несертифицированы. Получение сертификата FIPS 140-2 является обязательным требованием к продуктам при их использовании в обеспечении защиты конфиденциальных данных государственных учреждений США и Канады. Сертификат подтверждает соблюдение требований к криптографическим модулям и выдаётся Американским институтом стандартов и технологий (NIST) совместно с Канадским Центром безопасности коммуникаций после досконального тестирования компонентов дистрибутива независимой тестовой лабораторией.

Сертификат получен для программно-аппаратных комплексов на основе RHEL 7.1 и серверов HPE ProLiant DL380p Gen8 with PAA, HPE ProLiant DL380p Gen8 without PAA, IBM Power8 Little Endian 8286-41A и IBM z13 (single-user mode). В качестве прошедших аудит и протестированных в независимой лаборатории системных модулей отмечены: crypto API ядра Linux, клиент и сервер OpenSSH, OpenSSL, GnuTLS, Libgcrypt (используется в GnuPG), NSS, IPsec-реализация Libreswan.

Дистрибутив и используемые в нём расширения для контейнерной изоляции также получили сертификат соответствия требованиям международного стандарта безопасности Common Criteria EAL4+ (Evaluation Assurance Level), который является наивысшим уровнем сертификации для стандартных коммерческих операционных систем, который можно достигнуть без внесения специальных модификаций.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45696-fips

Ключевые слова: fips, rhel

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (38)

1.1, Аноним (-), 19:29, 15/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
Абанте до такого сертификата расти и расти.

2.15, Аноним (-), 09:13, 16/12/2016 [^] [^^] [^^^] [ответить]	+/–
До дыры майора?

3.16, кверти (ok), 09:29, 16/12/2016 [^] [^^] [^^^] [ответить]	+7 +/–
Тяжело тебе бедному, каждый день приходится про какого-то майора думать...соболезную.

1.2, Дед Анон (?), 19:38, 15/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Читаю как CentOS 7 получил сертификат безопасности FIPS 140-2. Поздравляю.

2.3, Леха (?), 20:44, 15/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Не надо приравнивать CentOS к RHEL. Они хоть и братья, но не однояйцевые близнецы.

3.8, Дед Анон (?), 23:14, 15/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Ну да, RHEL старший брат который ежели чё может вписаться, но он за это берёт бабло))

2.19, 0x0 (?), 12:15, 16/12/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Отсутствие сертификата совсем не означает, что CentOS не соответствует тем же требованиям :)

3.20, Аноним (-), 12:22, 16/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Но использовать Centos без сертификата, увы, нельзя там, где она нужна. А сознание, что используешь "почти то же самое" - это если только себя потешить )

4.21, Andrey Mitrofanov (?), 12:27, 16/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> Но использовать Centos без сертификата, увы, нельзя там, где она нужна. Вы сделали слишком много ошибок в словах "он нужен".

5.24, Аноним (-), 13:21, 16/12/2016 [^] [^^] [^^^] [ответить]	+5 +/–
Мое дело - творить комменты, создавать. Твое - надраивать мои комменты на предмет ошибок. Я творец, а ты всего лишь редактор, причем бесплатный.

6.44, Шоколадный код (?), 15:57, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
Красиво задвинул!

3.22, Леха (?), 12:58, 16/12/2016 [^] [^^] [^^^] [ответить]	+/–
Одинаковая пакетная база вовсе не означает, что CentOS = RHEL. Система сборки пакетов (флаги компиляции и прочее "околосборочное" окружение) различные, а это уже колоссальное отличие. Порой один определенный флаг для одного пакета губит его. Мы один раз нарвались на такое, код работающий без ошибок по полгода (2 раза в год технические работы), отказывается работать на CentOS. Дев.отдел с тестерами обнаружил в чем затык, но было принято решение полного отказа от CentOS в пользу RHEL.

4.26, Andrey Mitrofanov (?), 14:11, 16/12/2016 [^] [^^] [^^^] [ответить]	+3 +/–
>в пользу RHEL. кул стори бро.

5.42, Алконим (?), 07:46, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
>>в пользу RHEL. > кул стори бро. Совет от Лоха.

4.34, fi (ok), 15:53, 16/12/2016 [^] [^^] [^^^] [ответить]

+1 +/–

Вот наглая лож:

> Система сборки пакетов (флаги компиляции и прочее "околосборочное" окружение) различные

spec-файлы у них одни (флаги компиляции), а теперь и ферма сборки одна. Так что вы там нашли - еще большой вопрос!

5.45, Michael Shigorin (ok), 18:25, 18/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> spec-файлы у них одни (флаги компиляции), а теперь и ферма сборки одна. > Так что вы там нашли - еще большой вопрос! А бинарная среда точно одна? Главный затык был каждую новую центось именно с ней ведь.

6.46, Led (ok), 19:19, 18/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> А бинарная среда точно одна? Главный затык был каждую новую центось > именно с ней ведь. Был. 10 лет назад. Обнови методичку.

7.47, Michael Shigorin (ok), 19:29, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
>> А бинарная среда точно одна? Главный затык был каждую новую центось именно с ней ведь. > Был. 10 лет назад. Обнови методичку. Это не методичка, Саш, а вопрос со стороны -- ну и шестую центось рожали именно в этих муках (судя по долетавшему) вовсе не десять лет назад.

8.48, Led (ok), 19:38, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
7 3 на дворе Обнови методичку ... текст свёрнут, показать

9.49, Michael Shigorin (ok), 19:39, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
Что с тобой ... текст свёрнут, показать

10.50, Led (ok), 23:36, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
Сарказм Имел в виду методичку В том смысле, что не стоит выкладывать здесь ... текст свёрнут, показать

11.52, Michael Shigorin (ok), 11:14, 19/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Со второго раза это уже точно был не сарказм Какая ж это инсайдерская То, что... текст свёрнут, показать

4.36, Мимокрокодил (?), 17:31, 16/12/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Ну так поведай нам в чём же оказалось дело? Заинтриговал то как! P.S. RedHat правда сам так не считает - официальная позиция выглядит примерно следующим образом: хотите попробовать RHEL, но не готовы платить прямо сейчас - пробуете CentOS, он не хуже.

4.39, Led (ok), 23:29, 16/12/2016 [^] [^^] [^^^] [ответить]	+/–
Малыш, ну зачем болтать о том, в чём ты бычишь не больше, чем "менеджер среднего звена"?

4.41, Алконим (?), 07:46, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
Ещё один пример почему нельзя пускать чистых манагеров в огород.

3.40, Michael Shigorin (ok), 21:11, 17/12/2016 [^] [^^] [^^^] [ответить]	–2 +/–
> Отсутствие сертификата совсем не означает, что CentOS не соответствует тем же > требованиям :) Ой не факт. Причём из тех, которые доказывать -- убьёшься, по сути та же самая сертификация...

1.4, ALex_hha (ok), 21:05, 15/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
И что же такого есть в шапке, чего нет в centos?

2.5, Неаноним (?), 21:29, 15/12/2016 [^] [^^] [^^^] [ответить]	+2 +/–
логотипы, торговые марки...

3.43, Andrey Mitrofanov (?), 15:07, 18/12/2016 [^] [^^] [^^^] [ответить]	+/–
> логотипы, торговые марки... ...отказ от прав и договорная кабалистика, ...

2.6, NIST (?), 21:53, 15/12/2016 [^] [^^] [^^^] [ответить]	+/–
к шапке теперь прилагается сертификат

2.11, Леха (?), 02:44, 16/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
В RHEL есть репозитории, которые отсутствуют в CentOS, а там всякие ништяки есть. Но это мелочи, а главное, что и там и там одинаковые пакеты, но система их сборки разная. Это не только разные флаги компилятора, но и множество других вещей. Иногда отсутствие одного флага означает крах при работе используемых файлов определенного пакета.

1.9, Михрютка (ok), 23:34, 15/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>IBM z13 (single-user mode) полезная фича. где-то как NT4 без сетевого подключения.

2.17, Олег (??), 09:29, 16/12/2016 [^] [^^] [^^^] [ответить]	+/–
конфиденциальные данные же.

1.10, Ух (?), 00:48, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Дистрибутив НЕ МОЖЕТ быть сертифицирован по FIPS. Сертифицированы по FIPS могут быть только отдельные инструменты, входящие в состав дистрибутива.

1.14, Аноним (-), 08:09, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А если находится дыра, то в этом случае при установке патча дистриб становится несертифицированным?

2.18, Леха (?), 09:32, 16/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Сертификация проводится под конкретную версию, конкретное оборудование и самое главное под конкретную группу программ (он кстати не большой и поэтому не охватывает все пакеты дистрибутива). Шаг влево, шаг вправо в приведенных выше критериях расстрел на месте.

3.53, anonymous (??), 07:54, 21/12/2016 [^] [^^] [^^^] [ответить]	+/–
А если находят дырку, то как быть? Бумажка есть, типа все ок, а по факту дыра.

1.38, Аноним (-), 20:39, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
NIST подтвердил - закладки в криптографии правильные?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: