Red Hat Enterprise Linux (RHEL) получил сертификат безопасности FIPS 140-2

23.04.2013 22:27

Компания Red Hat объявила о сертификации дистрибутива Red Hat Enterprise Linux (RHEL) на предмет соответствия стандарту безопасности FIPS 140-2, определяющему требования к криптографическим модулям. Сертификат выдан Американским институтом стандартов и технологий (NIST) после досконального тестирования компонентов дистрибутива независимой тестовой лабораторией. Получение сертификата FIPS 140-2 является обязательным требованием к продуктам для их использования в обеспечении защиты конфиденциальных данных государственных учреждений США.

Сертификат получен для программно-аппаратных комплексов на основе RHEL 6.2 и серверов HP ProLiant DL585 и IBM BladeCenter HS22. В качестве прошедших аудит и протестированных в независимой лаборатории системных модулей отмечены: crypto API ядра Linux, клиент и сервер OpenSSH, OpenSSL, механизм шифрования дисковых разделов dm-crypt, IPSec-реализация Openswan, развиваемая проектом GnuPG библиотека libgcrypt.

исправить +13 +/–

Главная ссылка к новости (http://www.redhat.com/about/ne...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/36765-fips

Ключевые слова: fips, rhel, redhat

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.2, Аноним (-), 22:53, 23/04/2013 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
> Сертификат получен для программно-аппаратных комплексов на основе RHEL 6.2 Дайте угадаю: если обновить любой пакет (например, чтобы закрыть критическую дыру), все сертификация слетит к *ням?

2.7, Аноним (-), 23:56, 23/04/2013 [^] [^^] [^^^] [ответить]

–2 +/–

> Дайте угадаю: если обновить любой пакет (например, чтобы закрыть критическую дыру), все сертификация слетит к *ням?

Хотя, в принципе, все логично. Сертификация средств защиты - это, фактически, документальное подтверждение наличия в них бэкдора, которым могут воспользоваться компетентные службы.
Т.е. безопасность, но не для пользователя, а для государства.

Обновление может закрыть этот бэкдор. Соответственно, это приведет к утрате фактического основания, на котором был выдан сертификат.

3.19, Sinot (ok), 08:10, 24/04/2013 [^] [^^] [^^^] [ответить]

+3 +/–

Вот самим не смешно?

>для обеспечения защиты конфиденциальных данных в государственных учреждениях США.

Сдается мне, что для государственного учреждения дырки делать нет необходимости.

4.21, Аноним (-), 10:01, 24/04/2013 [^] [^^] [^^^] [ответить]

+2 +/–

> Вот самим не смешно?

У него есть право сделать предположение.

Нужно представлять ценность такой сертификации. Например, Windows Server также сертифицирована http://msdn.microsoft.com/ru-ru/library/bb326611(v=sql.105).aspx . Сертификат говорит лишь о том, что продукт проверил NIST и заявил, что тот совместим со стандартом FIPS. И ничего о безопасности, дырах т.п. Т.о., не нужно переоценивать.

4.27, Аноним (-), 01:29, 25/04/2013 [^] [^^] [^^^] [ответить]	+/–
> Сдается мне, что для государственного учреждения дырки делать нет необходимости. Как раз для государственного - обязательно надо. Потому что в государственных учреждениях просто обожают пролюбливать токены, необходимые для легального доступа к информации, а потом вспоминать, что бэкапов не было.

2.9, Led (ok), 00:09, 24/04/2013 [^] [^^] [^^^] [ответить]	+/–
> если обновить любой пакет (например, чтобы закрыть критическую дыру), все сертификация слетит к *ням? Да, к вам.

1.4, pavlinux (ok), 23:17, 23/04/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А хотите покажу дыру в OpenSWAN? А вот фигвам :-P Сертификаты, FIPS, NIST,... хе, децкий сад...

2.5, Аноним (-), 23:49, 23/04/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> А хотите покажу дыру в OpenSWAN? Давай меряться, у кого больше. У меня - remote user-initiated crash/code execution в x.org/kwin, но я его никому не скажу. Потому что разработчики положат куй, а злохакеры - нет.

3.22, Аноним (-), 10:04, 24/04/2013 [^] [^^] [^^^] [ответить]

+1 +/–

>> А хотите покажу дыру в OpenSWAN?

А я могу показать дыру в MS Office (проверено до 2010 включительно), через которую можно сделать с системой что угодно, независимо от установленного уровня безопасности в составляющих его продуктах.

4.25, Аноним (-), 12:23, 24/04/2013 [^] [^^] [^^^] [ответить]	+/–
Хотим!

5.26, Аноним (-), 13:21, 24/04/2013 [^] [^^] [^^^] [ответить]	+/–
Помести в XLSTART небольшой XLA (содержащий функцию автозапуска), который будет вызывать функции из DLL, которые могут делать все, что тебе угодно. DLL можно из исходников хоть на C, хоть на ассемблере. Никакой проверки при таком запуске не производится, уровень безопасности макросов на исполнение не влияет.

2.8, Аноним (-), 23:58, 23/04/2013 [^] [^^] [^^^] [ответить]	+/–
> А хотите покажу дыру в OpenSWAN? А вот фигвам :-P > Сертификаты, FIPS, NIST,... хе, децкий сад... Может, как раз эта дыра и является тем бэкдором, за который дали сертификат.

1.15, Аноним (-), 01:49, 24/04/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Давно протухло, и обновить нельзя. Ксакепы счастливы. Да, юзать такое можно только как в анекдоте - "если родина прикажет".

2.18, Аноним (-), 08:03, 24/04/2013 [^] [^^] [^^^] [ответить]	+/–
> Да, юзать такое можно только как в анекдоте - "если родина прикажет". а что конкретно там перестало быть юзабельным? или у тебя яббл головного мозга: 3-ий айфон невозможно юзать потому что вышел 4-ый?

3.23, Аноним (-), 10:09, 24/04/2013 [^] [^^] [^^^] [ответить]

–1 +/–

>> Да, юзать такое можно только как в анекдоте - "если родина прикажет".
> а что конкретно там перестало быть юзабельным?
> или у тебя яббл головного мозга: 3-ий айфон невозможно юзать потому что
> вышел 4-ый?

Точно. Товарищ диаматом в молодости увлекался, и никто ему не сказал, что это была шутка. По крайней мере закон отрицания отрицания тут не работает.

Недавно обнаружил в подсобке потоковый сканер HP 5000 (новый, в упаковке, лет 5 провалялся, т.к. в конторе купили, потому что дорого, но никто не знал, что это такое на самом деле). Потратил пару дней, чтобы определить, что работает это чудо только под Windows Vista. И надо сказать, превосходно пашет!! И что, отказываться от замечательного функционала (например, пачка бумаги -> pdf за пару секунд) - и хрен с ней, с Vista, что бы о ней не говорили?

4.24, Andrey Mitrofanov (?), 10:51, 24/04/2013 [^] [^^] [^^^] [ответить]	+1 +/–
>в конторе купили, потому что дорого > И что, отказываться от замечательного функционала (например, > пачка бумаги -> pdf за пару секунд) - и хрен с > ней, с Vista, что бы о ней не говорили? Не отказываться, а пилить sane драйвер. _Потому что дорого!_

1.20, Аноним (-), 08:59, 24/04/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Обычно, такие дистрибутивы, имеют особую поддержку, которая продлевается внезависимости от развития основного и не имеет к общим репозиториям никакого отношения, там свои репозитории, со своей отдельной поддержкой, в которых версии не меняются, а обновления критическиважных компонент, также тестируются, проходят внешний аудит в рамках полученной лицензии

2.28, Аноним (-), 01:31, 25/04/2013 [^] [^^] [^^^] [ответить]	+/–
> Обычно, такие дистрибутивы, имеют особую поддержку, которая продлевается внезависимости > от развития основного и не имеет к общим репозиториям никакого отношения, > там свои репозитории, со своей отдельной поддержкой, в которых версии не > меняются, а обновления критическиважных компонент, также тестируются, проходят внешний > аудит в рамках полученной лицензии Звучит красиво. Но на практике никогда не встречал, чтобы люди страдали такой "фигней".

игнорирование участников | лог модерирования

Добавить комментарий

Текст: