Provided by: manpages-de_4.15.0-9_all 
BEZEICHNUNG
update-crypto-policies - Verwalten der Richtlinien für die verschiedenen kryptographischen
Backends
ÜBERSICHT
update-crypto-policies [BEFEHL]
BESCHREIBUNG
update-crypto-policies(8) wird zum Setzen der anwendbaren Richtlinie für die verschiedenen
kryptographischen Backends wie SSL/TLS-Bibliotheken verwandt. Dies wird die
Standardrichtlinie sein, die von den Backends verwandt wird, außer der Anwendungsbenutzer
konfiguriert dies anders.
Die verfügbaren Richtlinien sind in der Handbuchseite crypto-policies(7) beschrieben.
Die gewünschte Systemrichtlinie wird in /etc/crypto-policies/config ausgewählt und dieses
Werkzeug wird die individuellen Richtlinienanforderungen für alle Backends konfigurieren,
die diese Konfiguration unterstützen. Nachdem dieses Werkzeug aufgerufen wurde, wird dem
Administrator gewährleistet, dass alle Anwendungen, die die unterstützten Backends
einsetzen, einer Richtlinie folgen, die das konfigurierte Profil einhält.
Beachten Sie, dass die obige Gewährleistung soweit reicht, wie die Anwendungen
konfiguriert wurden, dieser Standardrichtlinie zu folgen (die Details hängen vom Backend
ab, weitere Informationen finden Sie nachfolgend).
Die erstellten Backend-Richtlinien werden in /etc/crypto-policies/back-ends abgelegt.
Folgende Backends werden derzeit unterstützt:
• GnuTLS-Bibliothek
• OpenSSL-Bibliothek
• NSS-Bibliothek
• OpenJDK
• Libkrb5
• BIND
• OpenSSH
• Libreswan
• libssh
Anwendungen und Sprachen, die sich auf diese Backends abstützen, werden auch den
Systemrichtlinien folgen. Beispiele sind Httpd, Nginx, PHP und andere.
Es wird im Allgemeinen empfohlen, das System neu zu starten, nachdem die
System-Kryptorichtlinien mit dem Befehl »update-crypto-policies --set« geändert wurden,
damit diese vollständig Wirkung zeigen können, da deren Konfigurationsdateien beim Starten
der Anwendungen geladen werden. Andernfalls müssen die Anwendungen, die vor der Ausführung
des Befehls gestartet wurden, neu gestartet werden, um die aktualisierte Konfiguration zu
laden.
BEFEHLE
Im Werkzeug »update-crypto-policies« sind die folgenden Befehle verfügbar:
• --show: Zeigt die derzeit angewandte Kryptorichtlinie.
• --is-applied: Kehrt erfolgreich zurück, falls die derzeit konfigurierte Richtlinie
bereits angewandt wird.
• --set: Setzt die aktuelle Richtlinie und überschreibt die Konfigurationsdatei.
OPTIONEN
Die folgenden Optionen sind im Werkzeug update-crypto-policies verfügbar:
• --no-check: Standardmäßig führt dieses Werkzeug eine Plausibilitätsprüfung durch, ob
die konfigurierte Richtlinie durch die unterstützten Werkzeuge akzeptiert wird. Diese
Option deaktiviert diese Prüfungen.
• --no-reload: Standardmäßig führt dieses Werkzeug dazu, dass einige laufende
Anwendungen ihre konfigurierte Richtlinie neu laden. Diese Option führt zum
Überspringen des Neuladens.
ANWENDUNGSUNTERSTÜTZUNG
Anwendungen im Betriebssystem, die eine Vorgabekonfigurationsdatei bereitstellen, die eine
kryptographische Richtlinienzeichenkette enthält, werden nach und nach angepasst, um diese
Richtlinien zu unterstützen.
Wenn eine Anwendung eine Konfigurationsdatei bereitstellt, müssen folgende Änderungen
durchgeführt werden, damit diese die systemweiten Richtlinien anwendet:
• Anwendungen, die GnuTLS verwenden: Falls eine Anwendung die Konfiguration von
Chiffren-Prioritäten über eine Zeichenkette erlaubt, sollte die besondere
Prioritätszeichenkette »@SYSTEM« sämtliche andere Prioritätszeichenketten ersetzen.
Anwendungen, welche die Standard-Bibliothekseinstellungen verwenden, folgen
automatisch dieser Richtlinie. Anwendungen, die der Richtlinie folgen, erben die
Einstellungen für Chiffre-Suiten-Voreinstellungen, TLS- und DTLS-Protokollversionen,
erlaubten elliptischen Kurven und Beschränkungen für kryptographische Schlüssel.
• Anwendungen, die OpenSSL verwenden: Falls eine Anwendung die Konfiguration der
»ciphersuite«-Zeichenkette erlaubt, sollte die besondere Chiffrenzeichenkette
»PROFILE« sämtliche andere Chiffrenzeichenketten ersetzen. Anwendungen, welche die
Standard-Bibliothekseinstellungen verwenden, folgen automatisch dieser Richtlinie.
Anwendungen, die der Richtlinie folgen, erben die Einstellungen für
Chiffre-Suiten-Voreinstellungen. Standardmäßig liest die OpenSSL-Bibliothek eine
Konfigurationsdatei, wenn sie initialisiert wird. Falls die Anwendung das Laden der
Konfigurationsdatei nicht außer Kraft setzt, dann setzt die Richtlinie auch die
minimale TLS-Protokollversion und die Standard-Chiffren-Suite-Voreinstellung über
diese Datei. Falls die Anwendung lange läuft, wie ein Httpd-Server, muss sie neu
gestartet werden, um die Konfigurationsdatei neu zu laden, nachdem die Richtlinie
geändert wurde. Andernfalls kann die geänderte Richtlinie nicht wirksam werden.
• Anwendungen, die NSS verwenden: Anwendungen, die NSS verwenden, werden standardmäßig
die Krypto-Richtlinien laden. Sie erben die Einstellungen für
Chiffre-Suiten-Voreinstellungen, TLS- und DTLS-Protokollversionen, erlaubten
elliptischen Kurven und Beschränkungen für kryptographische Schlüssel. Beachten Sie,
dass die NSS-Richtlinie standardmäßig durchgesetzt wird, anders als bei OpenSSL und
GnutTLS; um Anwendungen daran zu hindern, der Richtlinie zu folgen, muss die
Umgebungsvariable NSS_IGNORE_SYSTEM_POLICY vor der Ausführung der Anwendung auf 1
gesetzt werden.
• Anwendungen, die Java verwenden: Es wird keine besondere Behandlung benötigt.
Anwendungen, die Java verwenden, werden standardmäßig die Krypto-Richtlinien laden.
Diese Anwendungen werden dann die Einstellungen für Chiffre-Suiten-Voreinstellungen,
TLS- und DTLS-Protokollversionen, erlaubten elliptischen Kurven und Beschränkungen für
kryptographische Schlüssel erben. Um OpenJDK-Anwendungen daran zu hindern, der
Richtlinie zu folgen, sollte die Datei <java.home>/jre/lib/security/java.security
bearbeitet werden, damit sie security.useSystemPropertiesFile=false enthält.
Alternativ können Sie eine Datei erstellen, die die außer Kraft gesetzten Werte für
jdk.tls.disabledAlgorithms, jdk.certpath.disabledAlgorithms enthält und den Ort der
Datei an Java auf der Befehlszeile mittels -Djava.security.properties=<Pfad zur Datei>
übergeben.
• Anwendungen, die libkrb5 verwenden: Es wird keine besondere Behandlung benötigt.
Anwendungen werden standardmäßig der Krypto-Richtlinie folgen. Diese Anwendungen erben
dann die erlaubten Verschlüsselungstypen für Tickets sowie die kryptographischen
Schlüsselbeschränkungen für das PKINIT-Protokoll. Systemweit kann die Verwendung der
Richtlinie vermieden werden, indem der Link /etc/krb5.conf.d/crypto-policies gelöscht
wird.
• BIND: Diese Anwendung erbt die Menge der ausgeschlossenen Algorithmen. Um die
Verwendung der Richtlinie zu vermeiden, entfernen Sie die Direktive zum Einschluss der
Richtlinie in der Datei named.conf.
• OpenSSH: Sowohl Server- als auch Client-Anwendung folgt den Chiffren-Voreinstellungen,
den Schlüsselaustauschalgorithmen sowie den GSSAPI-Schlüsselaustauschalgorithmen. Um
für einen Client die Verwendung der Richtlinie zu vermeiden, setzen Sie die globale
ssh_config mit einer benutzerspezifischen Konfiguration in ~/.ssh/config außer Kraft.
Siehe ssh_config(5) für weitere Informationen. Um die Verwendung der Richtlinie für
einen Server zu vermeiden, entfernen Sie den Kommentar in der Zeile, die
CRYPTO_POLICY= enthält, in der Datei /etc/sysconfig/sshd.
• Libreswan: Sowohl Server als auch Client erben die ESP- und IKE-Voreinstellung, falls
sie nicht in der Konfigurationsdatei der Verbindung außer Kraft gesetzt sind. Beachten
Sie, dass die Krypto-Richtlinien aufgrund von Einschränkungen von Libreswan auf die
Unterstützung von IKEv2 beschränkt ist. Um die Verwendung der Richtlinie zu vermeiden,
fügen Sie einen Kommentar in Zeile, die
/etc/crypto-policies/back-ends/libreswan.config in /etc/ipsec.conf einbindet, ein.
• Anwendungen, die libssh verwenden: Sowohl Server- als auch Client-Anwendungen, die
libssh verwenden, werden standardmäßig die Krypto-Richtlinien laden. Sie erben die
Voreinstellungen für die Chiffren, den Schlüsselaustausch, die
Nachrichtenauthentifizierung und die Signaturalgorithmen.
RICHTLINIENKONFIGURATION
Eine der unterstützten Profile sollte in /etc/crypto-policies/config gesetzt werden und
anschließend sollte dieses Skript ausgeführt werden.
Falls beim Auswerten Fehler auftreten, werden keine Richtlinien aktualisiert.
ANGEPASSTE RICHTLINIEN
Die angepassten Richtlinien können zwei Formen annehmen. Die erste Form ist eine
vollständig angepasste Richtliniendatei, die vom Werkzeug »update-crypto-policies« genauso
wie die im Paket ausgelieferten Richtlinien unterstützt wird.
Die zweite Form kann eine untergeordnete Richtlinie oder ein Richtlinienanpasser genannt
werden. Diese Form verändert Aspekte der zugrundeliegenden Richtlinie, indem Algorithmen
oder Protokolle entfernt oder hinzugefügt werden. Die untergeordnete Richtlinie kann bei
der Befehlszeile »update-crypto-policies --set« an die zugrundeliegende Richtlinie
angehängt werden, indem sie durch das »:«-Zeichen abgetrennt wird. Es können mehrere
untergeordnete Richtlinien angehängt werden.
Nehmen wir an, Sie haben eine untergeordnete Richtlinie NO-SHA1, die die Unterstützung für
SHA1-Hashes entfernt und die untergeordnete Richtlinie GOST, die Unterstützung für
verschiedene Algorithmen aktiviert, die im russischen GOST-Standard definiert sind. Sie
können die Richtlinie »DEFAULT« mit deaktivierter SHA1-Unterstützung und aktiviertem GOST
durch Ausführung folgenden Befehls setzen:
update-crypto-policies --set DEFAULT:NO-SHA1:GOST
Dieser Befehl erstellt die Konfiguration, die die Anpassung der Richtlinie DEFAULT mit den
in untergeordneten NO-SHA1- und GOST-Richtlinien festgelegten Änderungen ist, und wendet
diese an.
DATEIEN
/etc/crypto-policies/config
Diese Datei enthält die aktuelle Systemrichtlinie. Sie sollte eine Zeichenkette
enthalten, die eine der in der Seite crypto-policies(7) aufgeführten Profile ist (z.B.
DEFAULT).
/etc/crypto-policies/back-ends
Enthält die erstellten Richtlinien in getrennten Dateien und in einem Format, das von
den unterstützten Backends verstanden wird.
/etc/crypto-policies/local.d
Enthält zusätzliche Dateien, die an die erstellten Richtliniendateien angehängt werden
sollen. Die vorhandenen Dateien müssen der $app-XXX.config-Dateibenennung folgen,
wobei XXX ein beliebiger Kennzeichner ist. Um beispielsweise eine Zeile an die von
GnuTLS erstellte Richtlinie anzuhängen, erstellen Sie eine Datei
gnutls-extra-line.config in local.d. Diese wird an die erstellte gnutls.config während
der Ausführung von update-crypto-policies angehängt. Diese Außerkraftsetzungen
funktionieren nur für die Backends gnutls, bind, java (openjdk) und krb5.
SIEHE AUCH
crypto-policies(7), fips-mode-setup(8)
AUTOR
Geschrieben von Nikos Mavrogiannopoulos.
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
<debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.