.\" -*- coding: UTF-8 -*-
'\" t
.\"     Title: crypto-policies
.\"    Author: [see the "AUTHOR" section]
.\" Generator: DocBook XSL Stylesheets v1.79.1 <http://docbook.sf.net/>
.\"      Date: 08/24/2019
.\"    Manual: \ \&
.\"    Source: crypto-policies
.\"  Language: English
.\"
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH CRYPTO\-POLICIES 7 24.08.2019 crypto\-policies \ \(dq
.ie  \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH BEZEICHNUNG
crypto\-policies \- Überblick über systemweite Krypto\-Richtlinien
.SH BESCHREIBUNG
.sp
Die Sicherheit kryptographischer Komponenten des Betriebssystems bleibt im
Laufe der Zeit nicht konstant\&. Algorithmen, wie kryptographisches Hashen
und Verschlüsseln, haben typischerweise eine Lebensdauer, nach der sie als
zu riskant oder sogar klar unsicher betrachtet werden\&. Das bedeutet, das
solche Einstellungen aus den Voreinstellungen stufenweise herausgenommen
oder komplett deaktiviert werden müssen, falls sie ein nicht reparierbares
Problem hervorrufen würden\&.
.sp
Während in der Vergangenheit die Algorithmen nicht konsistent deaktiviert
wurden und verschiedene Anwendungen verschiedene Richtlinien zugrunde
legten, erlauben es die systemweiten Krypto\-Richtlinien, denen die
Krypto\-Kernkomponenten folgen, das konsistente und systemweite Markieren von
Algorithmen als veraltet und deren Deaktivierung\&.
.sp
Die einzelnen Richtlinienstufen (\fBDEFAULT\fP, \fBLEGACY\fP, \fBFUTURE\fP und
\fBFIPS\fP) sind im Paket \fBcrypto\-policies\fP(7) enthalten\&. In der Zukunft
wird es auch einen Mechanismus zur leichten Erstellung und dem leichten
Einsatz von Richtlinien, die vom Systemadministrator oder einem
Drittparteienlieferanten definiert wurden, geben\&.
.sp
Zur Begründung siehe \fBRFC 7457\fP für eine Liste von Angriffen, die Nutzen
aus veralteten Kryptoalgorithmen ziehen\&.
.SH "ABGEDECKTE ANWENDUNGEN"
.sp
Crypto\-policies gelten für die Konfiguration der kryptographischen
Kern\-Subsysteme und decken die Protokolle \fBTLS\fP, \fBIKE\fP, \fBIPSec\fP,
\fBDNSSec\fP und \fBKerberos\fP ab, d\&.h\&. die unterstützten sicheren
Kommunikationsprotokolle im grundlegenden Betriebssystem\&.
.sp
Sobald eine Anwendung im Betriebssystem ausgeführt wird, folgt sie der
Vorgabe oder der ausgewählten Richtlinie und lehnt es ab, auf Algorithmen
und Protokolle zurückzufallen, die nicht innerhalb der Richtlinie liegen,
außer der Anwender hat dies ausdrücklich erbeten\&. Das bedeutet, dass die
Richtlinie auf das Standardverhalten der Anwendungen angewandt wird, wenn
diese innerhalb der vom System bereitgestellten Konfiguration betrieben
werden, der Benutzer dies aber für Anwendungen gezielt außer Kraft setzen
kann\&.
.sp
Die Richtlinien stellen derzeit Einstellungen für die folgenden Anwendungen
und Bibliotheken bereit:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBBIND\fP\-DNS\-Nameserver\-Daemon
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBGnuTLS\fP\-TLS\-Bibliothek
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBOpenJDK\fP\-Laufzeitumgebung
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBKerberos 5\fP\-Bibliothek
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBLibreswan\fP\-IPsec\- und IKE\-Protokollimplementierung
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBNSS\fP\-TLS\-Bibliothek
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBOpenSSH\fP\-SSH2\-Protokollimplementierung
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBOpenSSL\fP\-TLS\-Bibliothek
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBlibssh\fP\-SSH2\-Protokollimplementierung
.RE
.sp
Anwendungen, die die obigen Bibliotheken und Werkzeuge verwenden, sind von
den kryptographischen Richtlinien abgedeckt, außer dies wird durch
ausdrückliche Konfiguration unterbunden\&.
.SH "BEREITGESTELLTE RICHTLINIENSTUFEN"
.PP
\fBLEGACY\fP
.RS 4
Diese Richtlinie stellt die maximale Kompatibilität mit herkömmlichen
Systemen bereit; sie ist weniger sicher und unterstützt die Protokolle \fBTLS 1\&.0\fP, \fBTLS 1\&.1\fP und \fBSSH2\fP und neuere\&. Die Algorithmen \fBDSA\fP,
\fB3DES\fP und \fBRC4\fP sind erlaubt, während die Parameter von \fBRSA\fP und
\fBDiffie\-Hellman\fP akzeptiert werden, wenn sie größer als 1023 bit
sind\&. Diese Stufe stellt mindestens 64\-Bit\-Sicherheit bereit\&.
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
MACs: alle \fBHMAC\fP mit \fBSHA\-1\fP oder besser und alle modernen MACs
(\fBPoly1305\fP usw\&.)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Kurven: alle Primzahlen >= 255 bit (einschließlich Bernstein\-Kurven)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Signaturalgorithmen: mit Hash \fBSHA1\fP oder besser (\fBDSA\fP erlaubt)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Chiffren: alle verfügbaren >= 112\-bit\-Schlüssel, >=
128\-bit\-Block (einschließlich \fBRC4\fP und \fB3DES\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Nicht\-TLS\-Chiffren: wie bei \fBTLS\fP\-Chiffren mit hinzugefügtem \fBCamellia\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Schlüsselaustausch: \fBECDHE\fP, \fBRSA\fP, \fBDHE\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDH\fP\-Parametergröße: >= 1023
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBRSA\fP\-Schlüsselgröße: >= 1023
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDSA\fP\-Parametergröße: >= 1023
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Protokolle: \fBTLS\fP >= 1\&.0, \fBDTLS\fP >= 1\&.0
.RE
.RE
.PP
\fBDEFAULT\fP
.RS 4
Die Richtlinie \fBDEFAULT\fP ist eine vernünftige Vorgaberichtlinie gemäß
heutigen Standards\&. Sie erlaubt die Protokolle \fBTLS 1\&.0\fP, \fBTLS 1\&.1\fP,
\fBTLS 1\&.2\fP und \fBTLS 1\&.3\fP sowie \fBIKEv2\fP und \fBSSH2\fP\&. Die Parameter
von \fBDiffie\-Hellman\fP werden akzeptiert, falls sie mindestens 1023 bit lang
sind\&. Die Stufe stellt mindestens 80\-Bit\-Sicherheit bereit\&.
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
MACs: alle \fBHMAC\fP mit \fBSHA\-1\fP oder besser und alle modernen MACs
(\fBPoly1305\fP usw\&.)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Kurven: alle Primzahlen >= 255 bit (einschließlich Bernstein\-Kurven)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Signatur\-Algorithmen: mit \fBSHA\-1\fP\-Hash oder besser (kein \fBDSA\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Chiffren: >= 128\-bit\-Schlüssel, >= 128\-bit\-Block (\fBAES\fP,
\fBChaCha20\fP, einschließlich \fBAES\-CBC\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
nicht\-TLS\-Chiffren: wie bei \fBTLS\fP\-Chiffren mit hinzugefügtem \fBCamellia\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Schlüsselaustausch: \fBECDHE\fP, \fBRSA\fP, \fBDHE\fP (kein \fBDHE\-DSS\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDH\fP\-Parametergröße: >= 1023
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBRSA\fP\-Schlüsselgrößen: >= 2048
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Protokolle: \fBTLS\fP >= 1\&.0, \fBDTLS\fP >= 1\&.0
.RE
.RE
.PP
\fBNEXT\fP
.RS 4
Die \fBNEXT\fP\-Richtlinie ist eine Richtlinie, die für die zukünftige
Veröffentlichung des Betriebssystems vorbereitet wurde, so dass sie leicht
getestet werden kann\&. Sie erlaubt die Protokolle \fBTLS 1\&.2\fP und \fBTLS 1\&.3\fP sowie \fBIKEv2\fP und \fBSSH2\fP\&. Die Parameter für \fBRSA\fP und
\fBDiffie\-Hellman\fP werden akzeptiert, falls sie größer als 2047 bit
sind\&. Die Stufe stellt mindestens 112\-Bit\-Sicherheit bereit, mit der
Ausnahme von \fBSHA\-1\fP\-Signaturen, die für \fBDNSSec\fP und andere noch
verbreitete veraltete Anwendung von \fBSHA\-1\fP\-Signaturen benötigt werden\&.
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
MACs: alle \fBHMAC\fP mit \fBSHA\-1\fP oder besser und alle modernen MACs
(\fBPoly1305\fP usw\&.)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Kurven: alle Primzahlen >= 255 bit (einschließlich Bernstein\-Kurven)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Signatur\-Algorithmen: mit \fBSHA\-1\fP\-Hash oder besser (kein \fBDSA\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Chiffren: >= 128\-bit\-Schlüssel, >= 128\-bit\-Block (\fBAES\fP,
\fBChaCha20\fP, einschließlich \fBAES\-CBC\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
nicht\-TLS\-Chiffren: wie bei \fBTLS\fP\-Chiffren mit hinzugefügtem \fBCamellia\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Schlüsselaustausch: \fBECDHE\fP, \fBRSA\fP, \fBDHE\fP (kein \fBDHE\-DSS\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDH\fP\-Parametergröße: >= 2048
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBRSA\fP\-Schlüsselgrößen: >= 2048
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Protokolle: \fBTLS\fP >= 1\&.2, \fBDTLS\fP >= 1\&.2
.RE
.RE
.PP
\fBFUTURE\fP
.RS 4
Eine konservative Sicherheitsstufe, von der angenommen wird, dass sie allen
zukünftigen Angriffen in der nächsten Zeit widerstehen wird\&. Diese Stufe
erlaubt keine Verwendung der \fBSHA\-1\fP\-Signaturalgorithmen\&. Diese Stufe
stellt auch einige (unvollständige) Vorbereitungen für
Post\-Quanten\-Verschlüsselungsunterstützung in Form von symmetrischen
256\-bit\-Verschlüsselungsanforderungen bereit\&. Die Parameter für \fBRSA\fP und
\fBDiffie\-Hellman\fP werden akzeptiert, wenn sie größer als 3071 bit
sind\&. Die Stufe stellt mindestens 128\-bit\-Sicherheit bereit\&.
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
MACs: alle \fBHMAC\fP mit \fBSHA\-256\fP oder besser und alle modernen MACs
(\fBPoly1305\fP usw\&.)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Kurven: alle Primzahlen >= 255 bit (einschließlich Bernstein\-Kurven)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Signatur\-Algorithmen: mit \fBSHA\-256\fP\-Hash oder besser (kein \fBDSA\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Chiffren: >= 256\-bit\-Schlüssel, >= 128\-bit\-Block, nur
Chiffren mit authentifizierter Verschlüsselung (AE)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
nicht\-TLS\-Chiffren: wie bei \fBTLS\fP\-Chiffren mit hinzugefügten
nicht\-AE\-Chiffren und \fBCamellia\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Schlüsselaustausch: \fBECDHE\fP, \fBDHE\fP (kein \fBDHE\-DSS\fP, kein \fBRSA\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDH\fP\-Parametergröße: >= 3072
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBRSA\fP\-Schlüsselgrößen: >= 3072
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Protokolle: \fBTLS\fP >= 1\&.2, \fBDTLS\fP >= 1\&.2
.RE
.RE
.PP
\fBFIPS\fP
.RS 4
Eine Stufe, die die \fBFIPS 140\-2\fP\-Anforderungen erfüllt\&. Diese Richtlinie
wird intern vom Werkzeug \fBfips\-mode\-setup\fP(8) verwandt, das das System in
den \fBFIPS 140\-2\fP\-Konformitätsmodus umschalten kann\&. Diese Stufe stellt
mindestens 112\-bit\-Sicherheit bereit\&.
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
MACs: alle \fBHMAC\fP mit \fBSHA1\fP oder besser
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Kurven: alle Primzahlen >= 256 bit
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Signatur\-Algorithmen: mit \fBSHA\-256\fP\-Hash oder besser (kein \fBDSA\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Chiffren: >= 128\-bit Schlüssel, >= 128\-bit\-Block (\fBAES\fP,
einschließlich \fBAES\-CBC\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
nicht\-TLS\-Chiffren: wie bei \fBTLS\fP\-Chiffren
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Schlüsselaustausch: \fBECDHE\fP, \fBDHE\fP (kein \fBDHE\-DSS\fP, kein \fBRSA\fP)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDH\fP\-Parametergröße: >= 2048
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBRSA\fP\-Parametergröße: >= 2048
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP\-Protokolle: \fBTLS\fP >= 1\&.2, \fBDTLS\fP >= 1\&.2
.RE
.RE
.PP
\fBEMPTY\fP
.RS 4
Alle kryptographischen Algorithmen sind deaktiviert (nur zur Fehlersuche,
verwenden Sie das nicht)\&.
.RE
.SH KRYPTO\-RICHTLINIEN\-DEFINITIONSFORMAT
.sp
Die Kryptorichtlinien\-Definitionsdateien haben eine einfache Syntax, die der
Syntax einer \fBINI\fP\-Datei \fBSchlüssel\fP = \fBWert\fP folgt und folgende
besondere Eigenschaften hat:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Kommentare werden durch ein \fI#\fP\-Zeichen angezeigt\&. Alles, was diesem
Zeichen auf der Zeile folgt, wird ignoriert\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Rückwärtsschrägstrichzeichen \fI\e\fP, denen sofort ein Zeilenendezeichen
folgt, stellen eine Zeilenfortführung dar\&. Die nachfolgende Zeile wird an
die aktuelle Zeile angehängt, nachdem der Rückwärtsschrägstrich und das
Zeilenendezeichen entfernt wurden\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Gültige Typen können entweder dezimale Ganzzahlen, beliebige Zeichenketten
oder Listen von Zeichenketten ohne Leerraumzeichen sein, die durch eine
beliebige Anzahl von Leerraumzeichen getrennt werden\&.
.RE
.sp
Die erlaubten Schlüssel sind:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBmac\fP: Liste der erlaubten MAC\-Algorithmen
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBgroup\fP: Liste der erlaubten Gruppen oder elliptischen Kurven für den
Schlüsselaustausch
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBhash\fP: Liste der erlaubten kryptographischen Algorithmen für Hashes
(Nachrichtenzusammenfassungen)
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBsign\fP: Liste der erlaubten Signaturalgorithmen
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBtls_cipher\fP: Liste der erlaubten symmetrischen Verschlüsselungsalgorithmen
(einschließlich der Modi) für die Anwendung mit dem TLS\-Protokoll
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBcipher\fP: Liste der erlaubten symmetrischen Verschlüsselungsalgorithmen
(einschließlich der Modi) für die Anwendung mit den anderen Protokollen
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBkey_exchange\fP: Liste der erlaubten Schlüsselaustauschalgorithmen
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBprotocol\fP: Liste der erlaubten TLS\- und DTLS\-Protokollversionen
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBike_protocol\fP: Liste der erlaubten IKE\-Protokollversionen
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBmin_tls_version\fP: Niedrigste erlaubte TLS\-Protokollversion
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBmin_dtls_version\fP: Niedrigste erlaubte DTLS\-Protokollversion
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBmin_dh_size\fP: Ganzzahlwert der minimalen Anzahl an Bits der Parameter für
den \fBDH\fP\-Schlüsselaustausch
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBmin_dsa_size\fP:  Ganzzahlwert der minimalen Anzahl an Bits für
\fBDSA\fP\-Schlüssel
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBmin_rsa_size\fP: Ganzzahlwert der minimalen Anzahl an Bits für
\fBRSA\fP\-Schlüssel
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBsha1_in_certs\fP: Wert von 1, falls \fBSHA1\fP in Zertifikatssignaturen erlaubt
ist und 0 andernfalls (gilt nur für das \fBGnuTLS\fP Backend)
.RE
.sp
Die vollständigen Richtliniendateien habe die Endung \fI\&.pol\fP, die
Richtlinien\-Moduldefinitionsdateien haben die Endung \fI\&.pmod\fP\&. In den
Richtlinien\-Moduldateien müssen nicht alle oben aufgeführten Werte für alle
Schlüssel gesetzt sein\&.
.sp
Die Listen, die in der Grundlage (den vollständigen Richtlinen) gesetzt
sind, werden durch die in den Moduldateien festgelegten Listen wie folgt
verändert:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fB\-\fP\fIListeneintrag\fP: Der \fIListeneintrag\fP wird aus der in der grundlegenden
Datei festgelegten Liste entfernt\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fB+\fP\fIListeneintrag\fP: Der \fIListeneintrag\fP wird am Anfang der in der
grundlegenden Datei festgelegten Liste eingefügt\&. Die Einfügungen erfolgen
in der Reihenfolge des Auftauchens in der Richtlinienmoduldatei, so dass die
abschließende Reihenfolge in der Liste invertiert sein wird\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIListeneintrag\fP oder \fIListeneintrag\fP\fB+\fP: Der \fIListeneintrag\fP wird am
Ende der in der grundlegenden Datei festgelegten Liste angehängt\&.
.RE
.sp
Werte, die keine Listen sind, werden aus den Richtliniendateien heraus
einfach außer Kraft gesetzt\&.
.SH BEFEHLE
.PP
\fBupdate\-crypto\-policies\fP(8)
.RS 4
Dieser Befehl verwaltet die für die verschiedenen kryptographischen Backends
verfügbaren Richtlinien und erlaubt es dem Systemverwalter, die aktive Stufe
der kryptographischen Richtlinien zu ändern\&.
.RE
.PP
\fBfips\-mode\-setup\fP(8)
.RS 4
Dieser Befehl erlaubt es dem Systemadministrator, den System\-FIPS\-Modus zu
aktivieren oder deaktivieren und auch die kryptographische Richtlinienstufe
\fBFIPS\fP anzuwenden, die die erlaubten Algorithmen und Protokolle auf die in
der FIPS 140\-2 geforderten beschränkt\&.
.RE
.SH ANMERKUNGEN
.sp
\fBAusnahmen\fP:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Anwendungen in der Sprache \fBGo\fP folgen der systemweiten Richtlinie noch
nicht\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBGnuPG\-2\fP\-Anwendungen folgen der systemweiten Richtlinie nicht\&.
.RE
.sp
Im Allgemeinen werden nur übertragene Daten bei der systemweiten Richtlinie
abgedeckt\&.
.sp
Falls der Systemadministrator die systemweite Richtlinienstufe mit dem
Befehl \fBupdate\-crypto\-policies\fP(8) ändert, wird empfohlen, das System neu
zu starten, da die einzelnen zugrundeliegenden Bibliotheken ihre
Konfigurationsdateien normalerweise während ihrer Initialisierung
lesen\&. Die Änderungen der Richtlinienstufe finden daher in den meisten
Fällen nur statt, wenn die Anwendungen, die die zugrundeliegenden
Bibliotheken verwenden, neu gestartet werden\&.
.sp
\fBEntfernte Chiffre\-Suiten und Protokolle\fP
.sp
Die folgenden Chiffre\-Suiten und Protokolle sind vollständig aus den oben
aufgeführten kryptographischen Kern\-Bibliotheken entfernt:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDES\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Alle für den Export geeigneten Chiffre\-Suiten
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBMD5\fP in Signaturen
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBSSLv2\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBSSLv3\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Alle \fBECC\fP\-Kurven kleiner als 224 bit
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Alle Binärfeld\-\fBECC\fP\-Kurven
.RE
.sp
\fBChiffren\-Suiten und Protokolle, die auf allen Richtlinien\-Stufen deaktiviert sind\fP
.sp
Die folgenden Chiffren\-Suiten und Protokolle sind verfügbar, aber in allen
Krypto\-Richtlinien\-Stufen deaktiviert\&. Sie können nur durch explizite
Konfiguration von einzelnen Anwendungen aktiviert werden:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBDH\fP mit Parametern < 1024 bit
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBRSA\fP mit Schlüsselgrößen < 1024 bit
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBCamellia\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBARIA\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBSEED\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBIDEA\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Reine Integritäts\-Chiffre\-Suiten
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBTLS\fP \fBCBC\-Modus\fP\-Chiffre\-Suiten, die \fBSHA\-384\fP HMAC verwenden
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBAES\-CCM8\fP
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Alle \fBECC\fP, die inkompatibel zu \fBTLS 1\&.3\fP sind, einschließlich secp256k1
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fBIKEv1\fP
.RE
.SH DATEIEN
.PP
/etc/crypto\-policies/back\-ends
.RS 4
Die einzelnen kryptographischen
Backend\-Konfigurationsdateien\&. Normalerweise werden sie auf die im Paket
crypto\-policies ausgelieferte Konfiguration verlinkt, außer eine
Konfiguration aus \fBlocal\&.d\fP wird hinzugefügt\&.
.RE
.PP
/etc/crypto\-policies/config
.RS 4
Die aktiv auf dem System gesetzte Krypto\-Richtlinien\-Stufe\&.
.RE
.PP
/etc/crypto\-policies/local\&.d
.RS 4
Zusätzliche Konfiguration, die von anderen Paketen ausgeliefert oder vom
Systemadministrator erstellt wurde\&. Die Inhalte der
\fB<back\-end>\-file\&.config\fP wird an die Konfiguration vom
Richtlinien\-Backend, wie es vom Paket crypto\-policies ausgeliefert wurde,
angehängt\&.
.RE
.SH "SIEHE AUCH"
.sp
update\-crypto\-policies(8), fips\-mode\-setup(8)
.SH AUTOR
.sp
Geschrieben von Tomáš Mráz\&.
.PP
.SH ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de>
erstellt.
.PP
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
.UR https://www.gnu.org/licenses/gpl-3.0.html
GNU General Public License Version 3
.UE
oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
.PP
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden,
schicken Sie bitte eine E-Mail an die
.MT debian-l10n-german@lists.debian.org
Mailingliste der Übersetzer
.ME .