A partir de la versión 18.0 de OpenVOS, los administradores del sistema VOS podrán seleccionar uno de los 3 nuevos algoritmos de encriptación de contraseñas. Este artículo proporciona una visión general de estos cambios.
El algoritmo de encriptación existente, legacy VOS es una función hash patentada y unidireccional que incorpora el algoritmo original DES como una parte de su trabajo. Vea esta reseña. Debido a los avances en la potencia de computación, ahora es posible usar ataques de fuerza bruta contra él que simplemente eran inviables cuando se escribió por primera vez. Así que es hora de introducir un nuevo algoritmo de encriptación de contraseñas. De hecho, para la compatibilidad con otros sistemas operativos, estamos agregando soporte para 3 nuevos algoritmos, mientras mantenemos el soporte para el algoritmo VOS de legacy .
Stratus ha extendido el despliegue de los algoritmos de encriptación adicionales en 2 versiones. OpenVOS 17.2 añade el soporte del kernel subyacente, nuevas APIs y estructuras de datos necesarias para soportar múltiples algoritmos de encriptación, pero no permite empezar a utilizar los nuevos algoritmos. Las nuevas API se describen aquí. OpenVOS 17.2 es una versión de transición; animamos a los usuarios a convertir su software a las nuevas API a medida que lo vayan utilizando. Pero no está obligado a usar OpenVOS 17.2; puede saltárselo y hacer el trabajo en OpenVOS 18.0.
OpenVOS 18.0 permite (pero no requiere) que empieces a usar los nuevos algoritmos. Para poder utilizar los nuevos algoritmos, todos los módulos de un sistema VOS multimodular deben estar ejecutándose en 17.2 o 18.0, y todo el software de usuario que llame a s$encipher_password o s$get_registration_info debe actualizarse para utilizar las nuevas API (s$encipher_password2, s$get_registration_info con una estructura de versión 8). El módulo maestro debe estar ejecutando OpenVOS 18.0. También deben actualizarse algunos productos en capas de Stratus (por ejemplo, Samba, ISP, otros); básicamente, cualquier producto en capas que trate con contraseñas de usuarios debe actualizarse. Todos los productos en capas afectados tienen una versión base de 17.2 o 18.0. Por último, el administrador del sistema debe ejecutar el comando sync_password_info para rellenar el archivo change_password.sysdb con el valor cifrado de legacy y el nuevo valor cifrado estándar. En este punto, el administrador puede cambiar el algoritmo de cifrado, y entonces cualquier usuario que posteriormente cambie su contraseña tendrá su contraseña cifrada almacenada utilizando el algoritmo actual.
Una vez que un usuario tiene una contraseña que se encripta con uno de los nuevos algoritmos, la copia de la contraseña que se encriptó con el algoritmo legacy se elimina. Esto es necesario para garantizar que un atacante que obtiene acceso al archivo de datos de la contraseña no pueda descifrar la contraseña atacando el algoritmo legacy , que es más débil. Pero el hecho de que eliminemos la contraseña cifrada de legacy también significa que las versiones más antiguas ya no funcionarán con ese archivo de contraseñas; de ahí el requisito de que todos los módulos ejecuten al menos OpenVOS 17.2.
No es necesario utilizar los nuevos algoritmos de encriptación. Un cliente puede continuar usando el algoritmo legacy para siempre. Un cliente puede incluso probar uno de los nuevos algoritmos de encriptación, y si tiene problemas, puede volver al algoritmo legacy . El único requisito es que cualquier usuario que haya cambiado su contraseña mientras el nuevo algoritmo estaba en vigor tendrá que volver a cambiarla, porque la única vez que ciframos una contraseña es cuando se cambia (porque es la única vez que conocemos su valor en texto plano).
Los nuevos algoritmos están tomados del conjunto implementado por libc en GNU/Linux o sistemas FreeBSD, y están basados en las funciones de hash MD5, SHA256 y SHA512. Ninguno de ellos utiliza DES o 3DES. Dado el mismo algoritmo y la misma contraseña de texto plano, el código VOS produce el mismo texto cifrado que el código Linux o FreeBSD (de hecho, usamos el código FreeBSD en nuestra implementación). Tomamos esta decisión para fortalecer la interoperabilidad del software de código abierto entre Linux y los sistemas OpenVOS.
Si no hace uso de las capacidades multimodales de VOS, entonces tan pronto como actualice su módulo a OpenVOS 18.0, puede comenzar el proceso de cambio a uno de los nuevos algoritmos de cifrado de contraseñas. Pero como se mencionó anteriormente, esto es una opción, no un requisito.
Los clientes no tienen que instalar primero OpenVOS 17.2; pueden actualizar directamente desde una versión anterior a la 18.0. Tampoco se requiere que los clientes permanezcan en la versión 18.0; pueden volver a bajar a la 17.2 en cualquier momento (aunque todos los usuarios que hayan cambiado su contraseña mientras el nuevo algoritmo estaba en vigor tendrán que volver a cambiarla en este caso).
Todas estas características están plenamente documentadas en el SRB y en los manuales de la 17.2, y se documentarán en los manuales de la 18.0 una vez que se disponga de la versión.
Recomiendo a los clientes que planean cambiar a los nuevos algoritmos de cifrado de contraseñas que se pongan en contacto con su Centro de Asistencia al Cliente con antelación para verificar que su plan de acción es completo y correcto.
Si tiene alguna pregunta acerca de esta publicación, por favor envíela a la sección de comentarios, más abajo, o contacte con un representante de Stratus o del CAC.
Empresa