Red Hat Enterprise Linux 8 wordt nog veiliger met tweede FIPS 140–2‑validatie

Red Hat, leve­ran­cier van open source-oplos­singen, kondigt de verlen­ging aan van de Federal Infor­ma­tion Proces­sing Standard 140–2 (FIPS 140–2) bevei­li­gings­va­li­datie voor Red Hat Enter­prise Linux 8.2. Deze tweede FIPS-certi­fi­ce­ring voor het Red Hat Enter­prise Linux 8‑platform, toont Red Hat’s leider­schap en toewij­ding om een veiligere basis te bieden voor de innovatie van open hybride cloud.

FIPS 140–2 is een norm voor compu­ter­be­vei­li­ging van het National Institute of Standards and Tech­no­logy (NIST), die de vereisten speci­fi­ceert voor cryp­to­gra­fi­sche modules, zowel voor hardware- als soft­wa­re­com­po­nenten, die binnen een bevei­li­gings­sys­teem worden gebruikt om gevoelige infor­matie te beschermen. Deze validatie is nodig voor orga­ni­sa­ties die bepalen dat speci­fieke infor­ma­tie­sys­temen cryp­to­grafie moeten gebruiken voor data­be­scher­ming. En als cryp­to­grafie vereist is, dan moet dat worden gevalideerd.

Met deze validatie voor Red Hat Enter­prise Linux 8.2 behouden veel van Red Hat’s open hybride cloud-producten ook de FIPS 140–2 certi­fi­ce­ring als gelaagde producten die voort­bouwen op de cryp­to­gra­fi­sche modules van Red Hat Enter­prise Linux 8.2. Deze omvatten, maar zijn niet beperkt tot:

• Red Hat Ceph Storage
• Red Hat Gluster Storage
• Red Hat OpenShift
• Red Hat OpenStack Platform
• Red Hat Satellite
• Red Hat Virtualization

Red Hat Enter­prise Linux 8.2 bevat FIPS 140–2 validatie voor de volgende modules:

• OpenSSL Cryp­to­graphic Module
• NSS Cryp­to­graphic Module
• Kernel Crypto API Cryp­to­graphic Module
• GnuTLS Cryp­to­graphic Module
• Libgcrypt Cryp­to­graphic Module (eerder geva­li­deerd in Red Hat Enter­prise Linux 8.1)

Naast de certi­fi­ce­ring van Red Hat Enter­prise Linux 8.2 heeft Red Hat Enter­prise Linux 7.7 ook vernieuwde FIPS 140–2 certi­fi­caten ontvangen voor de volgende modules:

• OpenSSL Cryp­to­graphic Module
• NSS Cryp­to­graphic Module
• Kernel Crypto API Cryp­to­graphic Module
• OpenSSH Client Cryp­to­graphic Module en OpenSSH Server Cryp­to­graphic Module
• Libreswan Cryp­to­graphic Module 

Als onderdeel van de goed gedo­cu­men­teerde Red Hat Enter­prise Linux lifecycle, bevindt Red Hat Enter­prise Linux 7 zich in Mainen­tance Phase 2 en dit zal het de laatste RHEL 7 release zijn die FIPS 140–2 validatie ontvangt. Red Hat is van plan om Kernel Crypto API Cryp­to­graphic Module certi­fi­caat-updates aan te vragen voor de laatste Red Hat Enter­prise Linux 7.8 en Red Hat Enter­prise Linux 7.9 kernel versies.

Om FIPS 140–2‑validatie te verkrijgen, worden cryp­to­gra­fi­sche modules onder­worpen aan diverse tests door onaf­han­ke­lijke, door NIST geac­cre­di­teerde Cryp­to­graphic and Security Testing Labo­ra­toria. De validatie voor Red Hat Enter­prise Linux 8.2 is uitge­voerd door het Cryp­to­graphic and Security Testing Labo­ra­to­rium van atsec infor­ma­tion security corpo­ra­tion in Austin, Texas.

Red Hat Enter­prise Linux 8.3 en Red Hat Enter­prise Linux 8.4 worden momenteel geva­li­deerd of staan reeds op de NIST-lijst “Modules In Process” met de intentie om FIPS 140–2 validatie naar deze releases uit te breiden.

Paul Smith, svp en general manager public sector, Noord-Amerika, bij Red Hat zegt in een toelich­ting: “De hernieuwde FIPS 140–2 validatie voor Red Hat Enter­prise Linux 8.2 en Red Hat Enter­prise Linux 7.7 geeft aan dat Red Hat zich sterk maakt voor het leveren van een onaf­han­ke­lijk geva­li­deerd, veiliger platform voor gevoelige computing-imple­men­ta­ties in de hybride cloud binnen zowel de publieke als de private sector.”