Verschlüsselung
Anforderung
Telearbeitsrechner sollten über eine Verschlüsselungskomponente verfügen.
Maßnahme: TLS-Suites in IGEL OS konfigurieren
Gehen Sie im Setup zu System > Registry
Setzen Sie den Parameter system.security.remote_management.tls_policy („TLS Richtlinie“) auf den Wert BSI.
Klicken Sie Übernehmen.
Maßnahme: TLS-Suites in UMS konfigurieren
Starten sie die Anwendung UMS Administrator mit Administratorrechten.
Klicken Sie auf der Seite Einstellungen die Schaltfläche Cipher konfigurieren.
Benutzen Sie die Schaltfläche Deaktivieren, um alle Cipher außer den folgenden zu deaktivieren:
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
Klicken Sie OK.
Klicken Sie auf Nachfrage Server jetzt neu starten.
Klicken Sie Übernehmen.
Anmerkung: SSH Ciphers
Folgende Algorithmen sind für den SSH-Daemon konfiguriert:
Ciphers aes128-ctr, aes192-ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, chacha20-poly1305@openssh.com
KexAlgorithms curve25519-sha256@libssh.org, ecdh-sha2-nistp521, ecdh-sha2-nistp384, ecdh-sha2-nistp256, diffie-hellman-group-exchange-sha256
MACs hmac-sha2-512-etm@openssh.com, hmac-sha2-256-etm@openssh.com, umac-128-etm@openssh.com, hmac-sha2-512, hmac-sha2-256, umac-128@openssh.com
Anmerkung: Verschlüsselung des Massenspeichers
Die schreibbaren Bereiche des Massenspeichers (/wfs, Custom Partitions, Firefox-Profil-Partition) sind per LUKS2 mit dem Cipher AES-XTS-plain64 verschlüsselt. Der verwendete Schlüssel ist 512 bit lang und pro Hardwareeinheit eindeutig.