Verschlüsselung

Anforderung

Telearbeitsrechner sollten über eine Verschlüsselungskomponente verfügen.

Maßnahme: TLS-Suites in IGEL OS konfigurieren

1. Gehen Sie im Setup zu System > Registry

2. Setzen Sie den Parameter system.security.remote_management.tls_policy („TLS Richtlinie“) auf den Wert BSI.

3. Klicken Sie Übernehmen.

Maßnahme: TLS-Suites in UMS konfigurieren

1. Starten sie die Anwendung UMS Administrator mit Administratorrechten.

2. Klicken Sie auf der Seite Einstellungen die Schaltfläche Cipher konfigurieren.

3. Benutzen Sie die Schaltfläche Deaktivieren, um alle Cipher außer den folgenden zu deaktivieren:
   

   TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384

   TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

   TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384

   TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

   TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

   TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

   TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

   TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

   TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

   TLS_DHE_DSS_WITH_AES_256_GCM_SHA384

   TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

4. Klicken Sie OK.

5. Klicken Sie auf Nachfrage Server jetzt neu starten.

6. Klicken Sie Übernehmen.

Anmerkung: SSH Ciphers

Folgende Algorithmen sind für den SSH-Daemon konfiguriert:

Ciphers aes128-ctr, aes192-ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, chacha20-poly1305@openssh.com

KexAlgorithms curve25519-sha256@libssh.org, ecdh-sha2-nistp521, ecdh-sha2-nistp384, ecdh-sha2-nistp256, diffie-hellman-group-exchange-sha256

MACs hmac-sha2-512-etm@openssh.com, hmac-sha2-256-etm@openssh.com, umac-128-etm@openssh.com, hmac-sha2-512, hmac-sha2-256, umac-128@openssh.com

Anmerkung: Verschlüsselung des Massenspeichers

Die schreibbaren Bereiche des Massenspeichers (/wfs, Custom Partitions, Firefox-Profil-Partition) sind per LUKS2 mit dem Cipher AES-XTS-plain64 verschlüsselt. Der verwendete Schlüssel ist 512 bit lang und pro Hardwareeinheit eindeutig.