[Sarlug] gost-cts в Kerberos у Astra

Evgeny Sinelnikov sin на altlinux.org
Пн Июл 9 21:36:50 MSK 2018


Документайции Astra следует, что у них в Kerberos предусмотрен тип
шифрования gost-cts.
Это интересно.


6.7.2. Конфигурационные файлы Kerberos
К конфигурационным файлам Kerberos относятся специальные конфигурационные
файлы служб севера Kerberos и конфигурационный файл /etc/krb5.conf, содержащий
основные настройки домена.
Важной характеристикой является алгоритм защиты аутентификационной инфор-
мации (supported_enctypes в /etc/krb5kdc/kdc.conf и default_tgs_enctypes,
default_tkt_enctypes, permitted_enctypes в /etc/krb5.conf).
Список используемых алгоритмов защиты аутентификационной информации при-
веден в табл 44.
127
РУСБ.10015-01 95 01-1
Т а б л и ц а 44
Тип шифрования
gost-cts
aes256-cts
des-cbc-crc
rc4-hmac
Назначение
отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-
2012, применяется по умолчанию в ALD
применяется по умолчанию в Kerberos
слабый устаревший, применяется для поддержки NFS, и не ре-
комендуется к использованию
применяется для поддержки работы клиентов Samba, так как
являлся основным в Windows
В случае отсутствия необходимости использования NFS или утилит Samba
(smbclient) — типы шифрования des-cbc-crc и rc4-hmac могут не указываться.
П р и м е ч а н и е. Для работы с NFS так же необходима установка параметра
allow_weak_crypto в файле /etc/krb5.conf, что снижает надежность аутентифика-
ции.


-- 
Sin (Sinelnikov Evgeny)


Подробная информация о списке рассылки Sarlug