安全性增強功能

下列安全性功能及增強功能已增加到 Solaris 10 5/09 發行版本中。

供 IPsec 金鑰管理開發人員所使用的 NAT 遍歷

Solaris 10 5/09 發行版本包含了使用者資料包協定 (UDP) 通訊端的公用 API，這些通訊端可充當 IPsec 網路位址轉譯器 (NAT) 遍歷端點。

UDP_NAT_T_ENDPOINT 通訊端選項，啟用時會在傳出的 UDP 通訊前面加上大小為 4 位元組、值為 0 的安全參數索引 (SPI)，並刪除傳入通訊上的 0 值 SPI。具有非 0 值 SPI 的傳入通訊在進入通訊端時，會被自動傳輸到 IPsec 的封裝安全性有效負載 (ESP)，進行 ESP-in-UDP 解除封裝。ESP-in-UDP 封裝是透過 IPsec 安全性關聯 (SA) 中的特性來判斷的。

此功能讓 IPsec 金鑰管理軟體開發人員可以建立能夠轉換 NAT 裝置的金鑰管理協定。iked(1M) 中的 Solaris IKE 常駐程式會使用此項功能，而使用 pfiles(1M) 指令則可顯示這類通訊端。

針對 IPsec 的更強大演算法

Solaris 10 5/09 發行版本針對 IPsec 與 IKE 引入了下列演算法：

• 三套更大的 Diffie-Hellman 整數模數群組，包括 2048 位元、3072 位元及 4096 位元 – 更大的 Diffie-Hellman 群組可在 IKE Phase 1 與 Phase 2 中使用。根據 RFC 3526，依照群組編號將這些群組指定如下：14 代表 2048 位元、15 代表 3072 位元、16 代表 4096 位元。

• SHA-2 系列雜湊包括 sha256、sha384 及 sha512 – 使用 HMAC 的 SHA-2 可用於 IPsec 的認證標頭 (AH) 與 ESP，以及在 IKE 的互動中也可用於 IKE。SHA-2 根據 RFC 4868 用於 IPsec，但 ICV 長度將截短為 16 個位元組 (針對 SHA256)、24 個位元組 (針對 SHA384) 以及 32 個位元組 (針對 SHA512)。

  ---

  備註 –

  SHA-2 無法用於以 ikecert (1M) 產生的憑證。

  ---

支援 OpenSSL PKCS#11 引擎的 SunSSH

此功能讓 SunSSH 伺服器與用戶端能夠透過 OpenSSL PKCS#11 引擎來使用 Solaris Cryptographic Framework。SunSSH 使用加密架構來進行對稱式加密演算法的硬體加密加速，這對資料傳輸速度是很重要的。此功能專為具有 n2cp (7D) 加密驅動程式的 UltraSPARC® T2 處理器平台而設計。

UltraSPARC T1 處理器平台不受此功能影響，因為 ncp(7D) 驅動程式並不支援對稱式加密演算法。不論為 UseOpenSSLEngine 選項設定的值是多少，不具任何硬體加密外掛程式的平台都不受此功能影響。UseOpenSSLEngine 選項的預設值已設為開啟，而且不需要更新伺服器與用戶端的 SSH 配置檔案。

SunSSH 應配合 Sun Crypto Accelerator 6000 機板的軟體 1.1 版使用，並應安裝下列修補程式：

• 若為 SPARC 系統，應安裝 128365-02

• 若為 x86 系統，應安裝 128366-02

Sun Crypto Accelerator 6000 機板軟體 1.0 版並無修補程式可用。若要解決此問題，請在伺服器與用戶端兩邊從 Ciphers 的選項關鍵字中移除 AES 計數器模式。

如需更多資訊，請參閱：「ssh_config(4)」 與 「sshd_config(4)」