下列安全性功能及增強功能已增加到 Solaris 10 5/09 發行版本中。
Solaris 10 5/09 發行版本包含了使用者資料包協定 (UDP) 通訊端的公用 API,這些通訊端可充當 IPsec 網路位址轉譯器 (NAT) 遍歷端點。
UDP_NAT_T_ENDPOINT 通訊端選項,啟用時會在傳出的 UDP 通訊前面加上大小為 4 位元組、值為 0 的安全參數索引 (SPI),並刪除傳入通訊上的 0 值 SPI。具有非 0 值 SPI 的傳入通訊在進入通訊端時,會被自動傳輸到 IPsec 的封裝安全性有效負載 (ESP),進行 ESP-in-UDP 解除封裝。ESP-in-UDP 封裝是透過 IPsec 安全性關聯 (SA) 中的特性來判斷的。
此功能讓 IPsec 金鑰管理軟體開發人員可以建立能夠轉換 NAT 裝置的金鑰管理協定。iked(1M) 中的 Solaris IKE 常駐程式會使用此項功能,而使用 pfiles(1M) 指令則可顯示這類通訊端。
Solaris 10 5/09 發行版本針對 IPsec 與 IKE 引入了下列演算法:
三套更大的 Diffie-Hellman 整數模數群組,包括 2048 位元、3072 位元及 4096 位元 – 更大的 Diffie-Hellman 群組可在 IKE Phase 1 與 Phase 2 中使用。根據 RFC 3526,依照群組編號將這些群組指定如下:14 代表 2048 位元、15 代表 3072 位元、16 代表 4096 位元。
SHA-2 系列雜湊包括 sha256、sha384 及 sha512 – 使用 HMAC 的 SHA-2 可用於 IPsec 的認證標頭 (AH) 與 ESP,以及在 IKE 的互動中也可用於 IKE。SHA-2 根據 RFC 4868 用於 IPsec,但 ICV 長度將截短為 16 個位元組 (針對 SHA256)、24 個位元組 (針對 SHA384) 以及 32 個位元組 (針對 SHA512)。
SHA-2 無法用於以 ikecert (1M) 產生的憑證。
此功能讓 SunSSH 伺服器與用戶端能夠透過 OpenSSL PKCS#11 引擎來使用 Solaris Cryptographic Framework。SunSSH 使用加密架構來進行對稱式加密演算法的硬體加密加速,這對資料傳輸速度是很重要的。此功能專為具有 n2cp (7D) 加密驅動程式的 UltraSPARC® T2 處理器平台而設計。
UltraSPARC T1 處理器平台不受此功能影響,因為 ncp(7D) 驅動程式並不支援對稱式加密演算法。不論為 UseOpenSSLEngine 選項設定的值是多少,不具任何硬體加密外掛程式的平台都不受此功能影響。UseOpenSSLEngine 選項的預設值已設為開啟,而且不需要更新伺服器與用戶端的 SSH 配置檔案。
SunSSH 應配合 Sun Crypto Accelerator 6000 機板的軟體 1.1 版使用,並應安裝下列修補程式:
若為 SPARC 系統,應安裝 128365-02
若為 x86 系統,應安裝 128366-02
Sun Crypto Accelerator 6000 機板軟體 1.0 版並無修補程式可用。若要解決此問題,請在伺服器與用戶端兩邊從 Ciphers 的選項關鍵字中移除 AES 計數器模式。
如需更多資訊,請參閱:「ssh_config(4)」 與 「sshd_config(4)」