A partire dalla versione 18.0 di OpenVOS, gli amministratori di sistema VOS potranno selezionare uno dei 3 nuovi algoritmi di crittografia delle password. Questo post fornisce una panoramica di tali modifiche.
L'algoritmo di crittografia legacy esistente è una funzione hash proprietaria unidirezionale che incorpora l'algoritmo DES originale come parte del suo funzionamento. Vedi questo articolo.Grazie ai progressi nella potenza di calcolo, è ora possibile utilizzare attacchi di forza bruta contro di esso che erano semplicemente impossibili quando è stato scritto per la prima volta. È quindi giunto il momento di introdurre un nuovo algoritmo di crittografia delle password. Infatti, per garantire la compatibilità con altri sistemi operativi, stiamo aggiungendo il supporto per 3 nuovi algoritmi, pur mantenendo il supporto per l'algoritmo legacy .
Stratus distribuito l'implementazione degli algoritmi di crittografia aggiuntivi su 2 versioni. OpenVOS 17.2 aggiunge il supporto del kernel sottostante, nuove API e strutture di dati necessarie per supportare più algoritmi di crittografia, ma non consente di iniziare a utilizzare i nuovi algoritmi. Le nuove API sono descritte qui. OpenVOS 17.2 è una versione di transizione; invitiamo gli utenti a convertire il proprio software alle nuove API man mano che lo utilizzano. Tuttavia, non è necessario utilizzare OpenVOS 17.2; è possibile saltarlo e lavorare su OpenVOS 18.0.
OpenVOS 18.0 consente (ma non richiede) di iniziare a utilizzare i nuovi algoritmi. Per poter utilizzare i nuovi algoritmi, tutti i moduli di un sistema VOS multimodulo devono essere in esecuzione con la versione 17.2 o 18.0 e tutti i software utente che richiamano s$encipher_password o s$get_registration_info devono essere aggiornati per utilizzare le nuove API (s$encipher_password2, s$get_registration_info con una struttura versione 8). Il modulo master deve essere in esecuzione su OpenVOS 18.0. Anche alcuni prodotti a livelli di Stratus essere aggiornati (ad esempio, Samba, ISP, altri); in sostanza, qualsiasi prodotto a livelli che gestisce le password degli utenti deve essere aggiornato. Tutti i prodotti a livelli interessati hanno una versione base 17.2 o 18.0. Infine, l'amministratore di sistema deve eseguire il comando sync_password_info per popolare il file change_password.sysdb con sia il valore legacy che il nuovo valore crittografato standard. A questo punto, l'amministratore può modificare l'algoritmo di crittografia e quindi qualsiasi utente che successivamente modifichi la propria password avrà la propria password crittografata memorizzata utilizzando l'algoritmo corrente.
Una volta che un utente dispone di una password crittografata utilizzando uno dei nuovi algoritmi, la copia della password crittografata con legacy viene eliminata. Ciò è necessario per garantire che un malintenzionato che ottiene l'accesso al file dei dati della password non possa scoprirla attaccando legacy più debole. Tuttavia, l'eliminazione della password legacy comporta anche l'impossibilità di utilizzare le versioni precedenti con quel file di password; pertanto, è necessario che tutti i moduli funzionino almeno con OpenVOS 17.2.
Non è obbligatorio utilizzare i nuovi algoritmi di crittografia. Il cliente può continuare a utilizzare legacy per sempre. Il cliente può anche provare uno dei nuovi algoritmi di crittografia e, in caso di problemi, tornare legacy . L'unico requisito è che qualsiasi utente che abbia modificato la propria password mentre era in vigore il nuovo algoritmo dovrà cambiarla nuovamente, poiché crittografiamo una password solo quando viene modificata (perché è l'unico momento in cui ne conosciamo il valore in chiaro).
I nuovi algoritmi sono tratti dal set implementato da libc sui sistemi GNU/Linux o FreeBSD e si basano sulle funzioni hash MD5, SHA256 e SHA512. Nessuno di essi utilizza DES o 3DES. Dato lo stesso algoritmo e la stessa password in chiaro, il codice VOS produce lo stesso testo cifrato del codice Linux o FreeBSD (infatti, nella nostra implementazione abbiamo utilizzato il codice FreeBSD). Abbiamo preso questa decisione per rafforzare l'interoperabilità del software open source tra i sistemi Linux e OpenVOS.
Se non si utilizzano le funzionalità multimodulo di VOS, non appena si esegue l'aggiornamento del modulo a OpenVOS 18.0, è possibile avviare il processo di passaggio a uno dei nuovi algoritmi di crittografia delle password. Tuttavia, come accennato in precedenza, si tratta di un'opzione, non di un requisito.
I clienti non sono tenuti a installare prima OpenVOS 17.2; possono eseguire l'aggiornamento direttamente dalla versione precedente alla 18.0. I clienti non sono nemmeno tenuti a rimanere sulla versione 18.0; possono tornare alla versione 17.2 in qualsiasi momento (anche se tutti gli utenti che hanno modificato la propria password mentre era in vigore il nuovo algoritmo dovranno modificarla nuovamente in questo caso).
Tutte queste funzionalità sono documentate in modo completo nell'SRB e nei manuali della versione 17.2 e saranno documentate nei manuali della versione 18.0 una volta che questa sarà disponibile.
Consiglio ai clienti che intendono passare ai nuovi algoritmi di crittografia delle password di contattare preventivamente il Centro assistenza clienti per verificare che il loro piano d'azione sia completo e corretto.
Se avete domande su questo post, vi preghiamo di pubblicarle nella sezione commenti qui sotto, oppure di contattare un Stratus o il CAC.