In Solaris 10 5/09 sono state aggiunte le seguenti funzioni di sicurezza e i seguenti miglioramenti.
Solaris 10 5/09 contiene un'API pubblica per socket UDP che agiscono come punti finali del NAT Traversal IPsec.
L'opzione socket UDP_NAT_T_ENDPOINT, se abilitata, aggiunge al traffico UDP un prefisso SPI di valore zero di quattro byte sul traffico in uscita ed elimina gli SPI con valore zero sul traffico in entrata. Il traffico in entrata per tale socket con un SPI diverso da zero viene automaticamente trasferito in ESP (Encapsulating Security Payload) di IPsec per la decapsulazione di ESP in UDP. L'incapsulamento di ESP in UDP è determinato da una proprietà nella Security Association (SA) di IPsec.
Questa funzione consente agli sviluppatori di software per la gestione delle chiavi Ipsec di creare protocolli che possono attraversare dispositivi NAT. Questa funzione viene utilizzata dal daemon IKE di Solaris in iked(1M) e i socket vengono visualizzati utilizzando il comando pfiles(1M).
Solaris 10 5/09 presenta i seguenti algoritmi per IPsec e IKE:
Tre gruppi moltiplicativi a 2048 bit, 3072 bit e 4096 bit, di interi modulo di Diffie-Hellman – I gruppi più grandi di Diffie-Hellman sono disponibili nelle fasi 1 e 2 di IKE. I gruppi sono indicati con il numero 14 per 2048 bit, 15 per 3072 bit, 16 per 4096 bit, come da RFC 3526.
L'autenticazione HMAC che utilizza la serie SHA-2 di valori di hash tra cui sha256, sha384 e sha512 è disponibile per l'Autentication Header (AH) e l'ESP di IPsec e per le interazioni IKE. SHA-2 viene utilizzato in IPsec come da RFC 4868, con lunghezze ICV troncate di 16 byte per SHA256, 24 byte per SHA384 e 32 byte per SHA512.
SHA-2 non è disponibile per certificati creati con ikecert (1M).
Questa funzionalità consente al server e al client SunSSH di utilizzare il Solaris Cryptographic Framework attraverso il motore OpenSSL PKCS#11. SunSSH utilizza una struttura crittografica per l'accelerazione hardware di algoritmi di crittografia simmetrici che è rilevante per la velocità di trasferimento dei dati. Questa funzionalità è destinata alle piattaforme del processore UltraSPARC® T2 con driver crittografici n2cp (7D).
Questa funzionalità non riguarda le piattaforme del processore UltraSPARC T1 in quanto il driver ncp(7D) non supporta gli algoritmi di crittografia simmetrici. Questa funzionalità non riguarda le piattaforme senza alcun plug-in crittografico hardware indipendentemente dal valore impostato per l'opzione UseOpenSSLEngine. Per impostazione predefinita, l'opzione UseOpenSSLEngine è attivata e i file di configurazione SSH del server e del client non devono essere aggiornati.
SunSSH deve essere utilizzato con la versione 1.1 del software per la scheda Sun Crypto Accelerator 6000 con le seguenti patch installate:
128365-02 per sistemi basati su SPARC
128366-02 per sistemi basati su x86
Per il software versione 1.0 della scheda Sun Crypto Accelerator 6000 non è disponibile nessuna patch. Per risolvere il problema, rimuovere le modalità del contatore AES dalle opzioni della parola chiave Ciphers sia sul server che sul client.
Per maggiori informazioni, vedere ssh_config(4) e sshd_config(4)