Criptografia strong na Zona Solaris

Question

Criptografia strong na Zona Solaris

#1 resposta do (1 votos)

3

Estou tentando configurar um Kerberos KDC em uma zona do Solaris, mas tive um pequeno problema com o Cryptographic Framework no Solaris 10

mesmo que os pacotes para criptografia strong (SUNWcry & SUNWcryr) estejam instalados, as chaves mais strongs parecem estar disponíveis apenas na região global:

Zona global:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

Zona Nonglobal:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      128   192

"cryptoadm list" fornece a mesma lista de provedores na zona global e não global.

Alguém tem uma idéia de como eu posso ativar as chaves mais strongs na região não global? Ou talvez se isso é realmente por design?

Eu já vi o problema nas atualizações 8,9 e 10 do Solaris 10. Apenas no Solaris 11 11/11 ele parece ter desaparecido, mas o Solaris 11 ainda não é uma opção nessa configuração.

kerberos solaris cryptography solaris-10 zones

por Marcel G 23.01.2012 / 12:27

1 resposta

Tags kerberos solaris cryptography solaris-10 zones

Posso conectar várias portas SPAN a um hub para monitorar ambas de um NIC Configurando um proxy SIP NAT

score 1 · Accepted Answer

Eu tenho uma solução: (fornecida pelo Suporte da Oracle)

Este é aparentemente um bug no pacote de SUNWcry / SUNWcryr, que não pode ser corrigido durante o ciclo de lançamento do Solaris 10 (como dito antes de ser corrigido para mim no Solaris 11).

Exemplos de relatórios de erros: 6534506, 6759852

Solução alternativa:

substitua pkcs11_softtoken por pkcs11_softtoken_extra no cryptoadm

(dentro da zona)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all

NOTA:

Se o segundo comando falhou com um erro sem esse arquivo ou diretório, você pode fazer o procedimento alternativo:

(dentro da zona)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf

Altere o:

/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=

Para:

/usr/lib/security/$ISA/pkcs11_softtoken_extra.so

Salve o arquivo e execute:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

agora você deve estar pronto para ir.