À partir de la version 18.0 d'OpenVOS, les administrateurs du système VOS pourront sélectionner l'un des trois nouveaux algorithmes de cryptage des mots de passe. Ce billet donne un aperçu de ces changements.
L'algorithme de cryptage VOS existant, legacy , est une fonction de hachage unidirectionnelle propriétaire qui intègre l'algorithme DES original dans une partie de son travail. Voir ce document. Grâce aux progrès de la puissance de calcul, il est maintenant possible d'utiliser contre lui des attaques par force brute qui étaient tout simplement irréalisables lorsqu'il a été écrit pour la première fois. Il est donc temps d'introduire un nouvel algorithme de cryptage des mots de passe. En fait, pour des raisons de compatibilité avec d'autres systèmes d'exploitation, nous ajoutons la prise en charge de 3 nouveaux algorithmes, tout en conservant la prise en charge de l'algorithme legacy VOS.
Stratus a réparti le déploiement des algorithmes de cryptage supplémentaires sur 2 versions. OpenVOS 17.2 ajoute le support du noyau sous-jacent, de nouvelles API et des structures de données nécessaires pour supporter plusieurs algorithmes de cryptage, mais il ne vous permet pas de commencer à utiliser les nouveaux algorithmes. Les nouvelles API sont décrites ici. OpenVOS 17.2 est une version transitoire ; nous encourageons les utilisateurs à convertir leur logiciel vers les nouvelles API au fur et à mesure qu'ils l'utilisent. Mais vous n'êtes pas obligé d'utiliser OpenVOS 17.2 ; vous pouvez le sauter et faire le travail sur OpenVOS 18.0.
OpenVOS 18.0 vous permet (mais ne vous oblige pas) à commencer à utiliser les nouveaux algorithmes. Afin d'utiliser les nouveaux algorithmes, tous les modules d'un système VOS multi-modules doivent fonctionner sous 17.2 ou 18.0, et tous les logiciels utilisateurs qui appellent s$encipher_password ou s$get_registration_info doivent être mis à jour pour utiliser les nouvelles API (s$encipher_password2, s$get_registration_info avec une structure de version 8). Le module maître doit fonctionner sous OpenVOS 18.0. Certains produits en couches de Stratus doivent également être mis à jour (par exemple, Samba, ISP, autres) ; fondamentalement, tout produit en couches qui traite des mots de passe des utilisateurs doit être mis à jour. Tous les produits en couches concernés ont une version de base de 17.2 ou 18.0. Enfin, l'administrateur système doit exécuter la commande sync_password_info pour remplir le fichier change_password.sysdb avec la valeur chiffrée legacy et la nouvelle valeur chiffrée standard. À ce stade, l'administrateur peut modifier l'algorithme de cryptage, puis tout utilisateur qui modifie ultérieurement son mot de passe verra son mot de passe crypté stocké à l'aide de l'algorithme actuel.
Une fois qu'un utilisateur a un mot de passe qui est crypté à l'aide d'un des nouveaux algorithmes, la copie du mot de passe qui a été crypté avec l'algorithme legacy est supprimée. Ceci est nécessaire pour s'assurer qu'un attaquant qui accède au fichier de données du mot de passe ne puisse pas découvrir le mot de passe en attaquant l'algorithme legacy plus faible. Mais le fait que nous supprimions le mot de passe crypté legacy signifie également que les anciennes versions ne fonctionneront plus avec ce fichier de mots de passe ; d'où l'exigence que tous les modules fonctionnent au moins sous OpenVOS 17.2.
Il n'est pas nécessaire d'utiliser les nouveaux algorithmes de cryptage. Un client peut continuer à utiliser l'algorithme legacy pour toujours. Il peut même essayer l'un des nouveaux algorithmes de cryptage et, en cas de problème, revenir à l'algorithme legacy . La seule condition est que tout utilisateur qui a changé son mot de passe pendant que le nouvel algorithme était en vigueur devra le changer à nouveau, car la seule fois où nous cryptons un mot de passe est lorsqu'il est changé (car c'est la seule fois où nous connaissons sa valeur en clair).
Les nouveaux algorithmes sont tirés de l'ensemble mis en œuvre par la libc sur les systèmes GNU/Linux ou FreeBSD, et sont basés sur les fonctions de hachage MD5, SHA256 et SHA512. Aucun d'entre eux n'utilise DES ou 3DES. Avec le même algorithme et le même mot de passe en clair, le code VOS produit le même texte chiffré que le code Linux ou FreeBSD (en fait, nous avons utilisé le code FreeBSD dans notre implémentation). Nous avons pris cette décision pour renforcer l'interopérabilité des logiciels libres entre les systèmes Linux et OpenVOS.
Si vous n'utilisez pas les capacités multi-modules de VOS, dès que vous passez à OpenVOS 18.0, vous pouvez commencer à passer à l'un des nouveaux algorithmes de cryptage des mots de passe. Mais comme mentionné précédemment, il s'agit d'une option et non d'une obligation.
Les clients ne sont pas tenus d'installer OpenVOS 17.2 au préalable ; ils peuvent passer directement d'une version précédente à la version 18.0. Les clients ne sont pas non plus tenus de rester sur la version 18.0 ; ils peuvent revenir à la version 17.2 à tout moment (bien que tous les utilisateurs qui avaient changé leur mot de passe pendant que le nouvel algorithme était en vigueur devront le changer à nouveau dans ce cas).
Toutes ces fonctionnalités sont entièrement documentées dans le SRB et les manuels de la version 17.2, et seront documentées dans les manuels de la version 18.0 dès que la version sera disponible.
Je recommande aux clients qui envisagent de passer aux nouveaux algorithmes de cryptage de mots de passe de contacter leur centre d'assistance clientèle à l'avance pour vérifier que leur plan d'action est complet et correct.
Si vous avez des questions concernant ce poste, veuillez les afficher dans la section "Commentaires", ci-dessous, ou contacter un représentant de Stratus ou du CAC.
Entreprise