.\" -*- coding: UTF-8 -*-
'\" t
.\"     Title: update-crypto-policies
.\"    Author: [see the "AUTHOR" section]
.\" Generator: DocBook XSL Stylesheets v1.79.1 <http://docbook.sf.net/>
.\"      Date: 08/24/2019
.\"    Manual: \ \&
.\"    Source: update-crypto-policies
.\"  Language: English
.\"
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH UPDATE\-CRYPTO\-POLI 8 24.08.2019 update\-crypto\-policies \ \(dq
.ie  \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH BEZEICHNUNG
update\-crypto\-policies \- Verwalten der Richtlinien für die verschiedenen
kryptographischen Backends
.SH ÜBERSICHT
.sp
\fBupdate\-crypto\-policies\fP [\fIBEFEHL\fP]
.SH BESCHREIBUNG
.sp
\fBupdate\-crypto\-policies\fP(8) wird zum Setzen der anwendbaren Richtlinie für
die verschiedenen kryptographischen Backends wie SSL/TLS\-Bibliotheken
verwandt\&. Dies wird die Standardrichtlinie sein, die von den Backends
verwandt wird, außer der Anwendungsbenutzer konfiguriert dies anders\&.
.sp
Die verfügbaren Richtlinien sind in der Handbuchseite \fBcrypto\-policies\fP(7)
beschrieben\&.
.sp
Die gewünschte Systemrichtlinie wird in \fI/etc/crypto\-policies/config\fP
ausgewählt und dieses Werkzeug wird die individuellen
Richtlinienanforderungen für alle Backends konfigurieren, die diese
Konfiguration unterstützen\&. Nachdem dieses Werkzeug aufgerufen wurde, wird
dem Administrator gewährleistet, dass alle Anwendungen, die die
unterstützten Backends einsetzen, einer Richtlinie folgen, die das
konfigurierte Profil einhält\&.
.sp
Beachten Sie, dass die obige Gewährleistung soweit reicht, wie die
Anwendungen konfiguriert wurden, dieser Standardrichtlinie zu folgen (die
Details hängen vom Backend ab, weitere Informationen finden Sie
nachfolgend)\&.
.sp
Die erstellten Backend\-Richtlinien werden in
\fI/etc/crypto\-policies/back\-ends\fP abgelegt\&. Folgende Backends werden
derzeit unterstützt:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
GnuTLS\-Bibliothek
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
OpenSSL\-Bibliothek
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
NSS\-Bibliothek
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
OpenJDK
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Libkrb5
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
BIND
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
OpenSSH
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Libreswan
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
libssh
.RE
.sp
Anwendungen und Sprachen, die sich auf diese Backends abstützen, werden auch
den Systemrichtlinien folgen\&. Beispiele sind Httpd, Nginx, PHP und
andere\&.
.sp
Es wird im Allgemeinen empfohlen, das System neu zu starten, nachdem die
System\-Kryptorichtlinien mit dem Befehl »update\-crypto\-policies \-\-set«
geändert wurden, damit diese vollständig Wirkung zeigen können, da deren
Konfigurationsdateien beim Starten der Anwendungen geladen
werden\&. Andernfalls müssen die Anwendungen, die vor der Ausführung des
Befehls gestartet wurden, neu gestartet werden, um die aktualisierte
Konfiguration zu laden\&.
.SH BEFEHLE
.sp
Im Werkzeug »update\-crypto\-policies« sind die folgenden Befehle verfügbar:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\-\-show: Zeigt die derzeit angewandte Kryptorichtlinie\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\-\-is\-applied: Kehrt erfolgreich zurück, falls die derzeit konfigurierte
Richtlinie bereits angewandt wird\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\-\-set: Setzt die aktuelle Richtlinie und überschreibt die
Konfigurationsdatei\&.
.RE
.SH OPTIONEN
.sp
Die folgenden Optionen sind im Werkzeug \fBupdate\-crypto\-policies\fP verfügbar:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\-\-no\-check: Standardmäßig führt dieses Werkzeug eine Plausibilitätsprüfung
durch, ob die konfigurierte Richtlinie durch die unterstützten Werkzeuge
akzeptiert wird\&. Diese Option deaktiviert diese Prüfungen\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\-\-no\-reload: Standardmäßig führt dieses Werkzeug dazu, dass einige laufende
Anwendungen ihre konfigurierte Richtlinie neu laden\&. Diese Option führt
zum Überspringen des Neuladens\&.
.RE
.SH ANWENDUNGSUNTERSTÜTZUNG
.sp
Anwendungen im Betriebssystem, die eine Vorgabekonfigurationsdatei
bereitstellen, die eine kryptographische Richtlinienzeichenkette enthält,
werden nach und nach angepasst, um diese Richtlinien zu unterstützen\&.
.sp
Wenn eine Anwendung eine Konfigurationsdatei bereitstellt, müssen folgende
Änderungen durchgeführt werden, damit diese die systemweiten Richtlinien
anwendet:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Anwendungen, die GnuTLS verwenden: Falls eine Anwendung die Konfiguration
von Chiffren\-Prioritäten über eine Zeichenkette erlaubt, sollte die
besondere Prioritätszeichenkette »@SYSTEM« sämtliche andere
Prioritätszeichenketten ersetzen\&. Anwendungen, welche die
Standard\-Bibliothekseinstellungen verwenden, folgen automatisch dieser
Richtlinie\&. Anwendungen, die der Richtlinie folgen, erben die
Einstellungen für Chiffre\-Suiten\-Voreinstellungen, TLS\- und
DTLS\-Protokollversionen, erlaubten elliptischen Kurven und Beschränkungen
für kryptographische Schlüssel\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Anwendungen, die OpenSSL verwenden: Falls eine Anwendung die Konfiguration
der »ciphersuite«\-Zeichenkette erlaubt, sollte die besondere
Chiffrenzeichenkette »PROFILE« sämtliche andere Chiffrenzeichenketten
ersetzen\&. Anwendungen, welche die Standard\-Bibliothekseinstellungen
verwenden, folgen automatisch dieser Richtlinie\&. Anwendungen, die der
Richtlinie folgen, erben die Einstellungen für
Chiffre\-Suiten\-Voreinstellungen\&. Standardmäßig liest die
OpenSSL\-Bibliothek eine Konfigurationsdatei, wenn sie initialisiert
wird\&. Falls die Anwendung das Laden der Konfigurationsdatei nicht außer
Kraft setzt, dann setzt die Richtlinie auch die minimale
TLS\-Protokollversion und die Standard\-Chiffren\-Suite\-Voreinstellung über
diese Datei\&. Falls die Anwendung lange läuft, wie ein Httpd\-Server, muss
sie neu gestartet werden, um die Konfigurationsdatei neu zu laden, nachdem
die Richtlinie geändert wurde\&. Andernfalls kann die geänderte Richtlinie
nicht wirksam werden\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Anwendungen, die NSS verwenden: Anwendungen, die NSS verwenden, werden
standardmäßig die Krypto\-Richtlinien laden\&. Sie erben die Einstellungen
für Chiffre\-Suiten\-Voreinstellungen, TLS\- und DTLS\-Protokollversionen,
erlaubten elliptischen Kurven und Beschränkungen für kryptographische
Schlüssel\&. Beachten Sie, dass die NSS\-Richtlinie standardmäßig
durchgesetzt wird, anders als bei OpenSSL und GnutTLS; um Anwendungen daran
zu hindern, der Richtlinie zu folgen, muss die Umgebungsvariable
NSS_IGNORE_SYSTEM_POLICY vor der Ausführung der Anwendung auf 1 gesetzt
werden\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Anwendungen, die Java verwenden: Es wird keine besondere Behandlung
benötigt\&. Anwendungen, die Java verwenden, werden standardmäßig die
Krypto\-Richtlinien laden\&. Diese Anwendungen werden dann die Einstellungen
für Chiffre\-Suiten\-Voreinstellungen, TLS\- und DTLS\-Protokollversionen,
erlaubten elliptischen Kurven und Beschränkungen für kryptographische
Schlüssel erben\&. Um OpenJDK\-Anwendungen daran zu hindern, der Richtlinie
zu folgen, sollte die Datei
<java\&.home>/jre/lib/security/java\&.security bearbeitet werden,
damit sie security\&.useSystemPropertiesFile=false enthält\&. Alternativ
können Sie eine Datei erstellen, die die außer Kraft gesetzten Werte für
\fIjdk\&.tls\&.disabledAlgorithms\fP, \fIjdk\&.certpath\&.disabledAlgorithms\fP
enthält und den Ort der Datei an Java auf der Befehlszeile mittels
\-Djava\&.security\&.properties=<Pfad zur Datei> übergeben\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Anwendungen, die libkrb5 verwenden: Es wird keine besondere Behandlung
benötigt\&. Anwendungen werden standardmäßig der Krypto\-Richtlinie
folgen\&. Diese Anwendungen erben dann die erlaubten Verschlüsselungstypen
für Tickets sowie die kryptographischen Schlüsselbeschränkungen für das
PKINIT\-Protokoll\&. Systemweit kann die Verwendung der Richtlinie vermieden
werden, indem der Link /etc/krb5\&.conf\&.d/crypto\-policies gelöscht wird\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
BIND: Diese Anwendung erbt die Menge der ausgeschlossenen Algorithmen\&. Um
die Verwendung der Richtlinie zu vermeiden, entfernen Sie die Direktive zum
Einschluss der Richtlinie in der Datei named\&.conf\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
OpenSSH: Sowohl Server\- als auch Client\-Anwendung folgt den
Chiffren\-Voreinstellungen, den Schlüsselaustauschalgorithmen sowie den
GSSAPI\-Schlüsselaustauschalgorithmen\&. Um für einen Client die Verwendung
der Richtlinie zu vermeiden, setzen Sie die globale ssh_config mit einer
benutzerspezifischen Konfiguration in ~/\&.ssh/config außer Kraft\&. Siehe
\fBssh_config\fP(5) für weitere Informationen\&. Um die Verwendung der
Richtlinie für einen Server zu vermeiden, entfernen Sie den Kommentar in der
Zeile, die CRYPTO_POLICY= enthält, in der Datei /etc/sysconfig/sshd\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Libreswan: Sowohl Server als auch Client erben die ESP\- und
IKE\-Voreinstellung, falls sie nicht in der Konfigurationsdatei der
Verbindung außer Kraft gesetzt sind\&. Beachten Sie, dass die
Krypto\-Richtlinien aufgrund von Einschränkungen von Libreswan auf die
Unterstützung von IKEv2 beschränkt ist\&. Um die Verwendung der Richtlinie
zu vermeiden, fügen Sie einen Kommentar in Zeile, die
/etc/crypto\-policies/back\-ends/libreswan\&.config in /etc/ipsec\&.conf
einbindet, ein\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Anwendungen, die libssh verwenden: Sowohl Server\- als auch
Client\-Anwendungen, die libssh verwenden, werden standardmäßig die
Krypto\-Richtlinien laden\&. Sie erben die Voreinstellungen für die Chiffren,
den Schlüsselaustausch, die Nachrichtenauthentifizierung und die
Signaturalgorithmen\&.
.RE
.SH RICHTLINIENKONFIGURATION
.sp
Eine der unterstützten Profile sollte in /etc/crypto\-policies/config gesetzt
werden und anschließend sollte dieses Skript ausgeführt werden\&.
.sp
Falls beim Auswerten Fehler auftreten, werden keine Richtlinien
aktualisiert\&.
.SH "ANGEPASSTE RICHTLINIEN"
.sp
Die angepassten Richtlinien können zwei Formen annehmen. Die erste Form ist
eine vollständig angepasste Richtliniendatei, die vom Werkzeug
»update\-crypto\-policies« genauso wie die im Paket ausgelieferten Richtlinien
unterstützt wird\&.
.sp
Die zweite Form kann eine untergeordnete Richtlinie oder ein
Richtlinienanpasser genannt werden\&. Diese Form verändert Aspekte der
zugrundeliegenden Richtlinie, indem Algorithmen oder Protokolle entfernt
oder hinzugefügt werden\&. Die untergeordnete Richtlinie kann bei der
Befehlszeile »update\-crypto\-policies \-\-set« an die zugrundeliegende
Richtlinie angehängt werden, indem sie durch das »:«\-Zeichen abgetrennt
wird\&. Es können mehrere untergeordnete Richtlinien angehängt werden\&.
.sp
Nehmen wir an, Sie haben eine untergeordnete Richtlinie NO\-SHA1, die die
Unterstützung für SHA1\-Hashes entfernt und die untergeordnete Richtlinie
GOST, die Unterstützung für verschiedene Algorithmen aktiviert, die im
russischen GOST\-Standard definiert sind\&. Sie können die Richtlinie
»DEFAULT« mit deaktivierter SHA1\-Unterstützung und aktiviertem GOST durch
Ausführung folgenden Befehls setzen:
.sp
update\-crypto\-policies \-\-set DEFAULT:NO\-SHA1:GOST
.sp
Dieser Befehl erstellt die Konfiguration, die die Anpassung der Richtlinie
DEFAULT mit den in untergeordneten NO\-SHA1\- und GOST\-Richtlinien
festgelegten Änderungen ist, und wendet diese an\&.
.SH DATEIEN
.PP
/etc/crypto\-policies/config
.RS 4
Diese Datei enthält die aktuelle Systemrichtlinie\&. Sie sollte eine
Zeichenkette enthalten, die eine der in der Seite \fBcrypto\-policies\fP(7)
aufgeführten Profile ist (z\&.B\&. DEFAULT)\&.
.RE
.PP
/etc/crypto\-policies/back\-ends
.RS 4
Enthält die erstellten Richtlinien in getrennten Dateien und in einem
Format, das von den unterstützten Backends verstanden wird\&.
.RE
.PP
/etc/crypto\-policies/local\&.d
.RS 4
Enthält zusätzliche Dateien, die an die erstellten Richtliniendateien
angehängt werden sollen\&. Die vorhandenen Dateien müssen der
$app\-XXX\&.config\-Dateibenennung folgen, wobei XXX ein beliebiger
Kennzeichner ist\&. Um beispielsweise eine Zeile an die von GnuTLS erstellte
Richtlinie anzuhängen, erstellen Sie eine Datei gnutls\-extra\-line\&.config
in local\&.d\&. Diese wird an die erstellte gnutls\&.config während der
Ausführung von update\-crypto\-policies angehängt\&. Diese Außerkraftsetzungen
funktionieren nur für die Backends gnutls, bind, java (openjdk) und krb5\&.
.RE
.SH "SIEHE AUCH"
.sp
crypto\-policies(7), fips\-mode\-setup(8)
.SH AUTOR
.sp
Geschrieben von Nikos Mavrogiannopoulos\&.
.PP
.SH ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de>
erstellt.
.PP
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
.UR https://www.gnu.org/licenses/gpl-3.0.html
GNU General Public License Version 3
.UE
oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
.PP
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden,
schicken Sie bitte eine E-Mail an die
.MT debian-l10n-german@lists.debian.org
Mailingliste der Übersetzer
.ME .