Компания Red Hat объявила (https://www.redhat.com/en/about/press-releases/red-hat-compl... о прохождении повторной сертификации криптографических модулей дистрибутива Red Hat Enterprise Linux 7 (RHEL) на предмет соответствия стандарту безопасности FIPS 140-2 (https://en.wikipedia.org/wiki/FIPS_140-2). От произведённой в 2016 году сертификации новая отличается обновлением компонентов, расширением охватываемых решений и изменением тестируемых серверов. Получение сертификата FIPS 140-2 является обязательным требованием к продуктам при их использовании в обеспечении защиты конфиденциальных данных государственных учреждений США и Канады. Сертификат подтверждает соблюдение требований к криптографическим модулям и выдаётся Американским институтом стандартов и технологий (NIST) совместно с Канадским Центром безопасности коммуникаций (https://ru.wikipedia.org/wiki/%D0%A6%D0%... после досконального тестирования компонентов дистрибутива независимой тестовой лабораторией.
Сертификат получен для программно-аппаратных комплексов на основе RHEL 7.4 и серверов Dell PowerEdge R630, как c PAA (Processor Algorithm Accelerators), так и без него. В качестве прошедших аудит и протестированных в независимой лаборатории системных модулей отмечены: crypto API ядра Linux, клиент и сервер OpenSSH, OpenSSL, GnuTLS, Libgcrypt (используется в GnuPG), NSS, IPsec-реализация Libreswan. Кроме основного дистрибутива сертификация также охватывает продукты
Red Hat Ceph Storage, CloudForms, Enterprise Linux Atomic Host,
Gluster Storage, OpenShift Container Platform, OpenStack Platform, Red Hat Satellite и Red Hat Virtualization.
URL: https://www.redhat.com/en/about/press-releases/red-hat-compl...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48250
И эта сертификация, так же, как и ФСТЭК лишает возможности присылать заплатки безопасности без потери сертификации, или нет?
Вообще-то ФСТЭК уже год как ТРЕБУЕТ устанавливать обновления по безопасности немедленно, а сертифицировать их уже потом.
а можно ссылку?
https://fstec.ru/component/attachments/download/P671
Это проект. Утверждённого документа показать не могу, могу только сказать, что он очень похож на этот проект. Но если вы выпускаете сертифицированные по ФСТЭК системы, до вас это должны были довести.
Если мне не изменяет память, официальные лица ФСТЭК озвучивали это в прошлом году на OsDay.
можно поподробнее про это? линк какой-нибудь
> Вообще-то ФСТЭК уже год как ТРЕБУЕТ устанавливать обновления по безопасности немедленно,
> а сертифицировать их уже потом.Однако BREAKING NEWS...
А где почитать?
ссылку мы не дождемся, пацаны. Предлагается верить ему на слово.
> ссылку мы не дождемся, пацаны. Предлагается верить ему на слово.Вообще-то boyarsh@ в этом вопросе можно верить на слово -- видимо, как и Лютикову.
кто все эти люди?
https://fstec.ru/obshchaya-informatsiya/rukovoditeli/1175-za...
а пацаны-то просили ссылку для подкрепления следующего ничем не обоснованного утверждения:> Вообще-то ФСТЭК уже год как ТРЕБУЕТ устанавливать обновления по безопасности немедленно, а сертифицировать их уже потом
следующая ссылка про что будет? не про кулинарные рецепты случайно?
выше ссылка есть уже
Вообще-то половина производителей сертифицированных средств давно сдохли, а остальная половина (Microsoft, CISCO, etc) - под санкциями, так что ФСТЭК может требовать что угодно.
Если кто не в курсе про Копейкось 7 для i386:http://mirror.centos.org/altarch/7/isos/i386/
CentOS-7-i386-DVD-1708.iso 05-Oct-2017 15:59 4.1G
CentOS-7-i386-Everything-1708.iso 05-Oct-2017 15:59 6.7G
CentOS-7-i386-LiveGNOME-1708.iso 05-Oct-2017 18:17 1.2G
CentOS-7-i386-LiveKDE-1708.iso 05-Oct-2017 17:32 1.7G
CentOS-7-i386-Minimal-1708.iso 05-Oct-2017 16:04 760M
CentOS-7-i386-NetInstall-1708.iso 04-Oct-2017 12:45 394M
sha256sum.txt 05-Oct-2017 18:22 586
Там ещё есть и другие «альтернативные» сборки:
> Если кто не в курсе про Копейкось 7 для i386:Вообще-то уже давно не новость. Неюзабельно без EPEL, а его-то для i386 нет :-(
https://buildlogs.centos.org/c7-epel/
Интересно, найдется ли хотя бы один релиз, сертфицированный одновременно ФСТЭК и FIPS? А то ни к тем, ни к этим особого доверия нет, а такая кросс-валидация могла бы хоть как-то понизить вероятность закладок всяких.
Для "кроссвалидации" необходимо наличие сразу двух бекдоров каждый из которых неизвестен другой стороне, что маловероятно.