A partire dalla release 18.0 di OpenVOS, gli amministratori di sistema VOS saranno in grado di selezionare uno dei 3 nuovi algoritmi di cifratura delle password. Questo post fornisce una panoramica di queste modifiche.
L'algoritmo di cifratura VOS esistente, legacy L'algoritmo di cifratura VOS è una funzione hash proprietaria a senso unico che incorpora l'algoritmo DES originale come parte del suo lavoro. Vedere questo articolo. A causa dei progressi nella potenza di calcolo, è ora possibile utilizzare contro di esso attacchi di forza bruta che erano semplicemente impraticabili quando è stato scritto per la prima volta. È quindi giunto il momento di introdurre un nuovo algoritmo di cifratura delle password. Infatti, per la compatibilità con altri sistemi operativi, stiamo aggiungendo il supporto per 3 nuovi algoritmi, pur mantenendo il supporto per l'algoritmo VOS legacy .
Stratus ha diffuso l'impiego degli algoritmi di cifratura aggiuntivi su 2 release. OpenVOS 17.2 aggiunge il supporto del kernel sottostante, nuove API e strutture dati necessarie per supportare più algoritmi di crittografia, ma non permette di iniziare ad utilizzare i nuovi algoritmi. Le nuove API sono descritte qui. OpenVOS 17.2 è una release di transizione; incoraggiamo gli utenti a convertire il loro software alle nuove API mentre lo utilizzano. Ma non è richiesto l'uso di OpenVOS 17.2; si può saltare questo passaggio e fare il lavoro su OpenVOS 18.0.
OpenVOS 18.0 permette (ma non richiede) di iniziare ad utilizzare i nuovi algoritmi. Per poter utilizzare i nuovi algoritmi, tutti i moduli di un sistema VOS multi-modulo devono essere in esecuzione 17.2 o 18.0, e tutti i software utente che chiamano s$encipher_password o s$get_registration_info devono essere aggiornati per utilizzare le nuove API (s$encipher_password2, s$get_registration_info con una struttura di versione 8). Il modulo master deve eseguire OpenVOS 18.0. Anche alcuni prodotti a più livelli di Stratus devono essere aggiornati (ad esempio, Samba, ISP, altri); fondamentalmente, qualsiasi prodotto a più livelli che si occupa di password utente deve essere aggiornato. Tutti i prodotti a strati interessati hanno una release base di 17.2 o 18.0. Infine, l'amministratore di sistema deve eseguire il comando sync_password_info per popolare il file change_password.sysdb con il valore cifrato di legacy e il nuovo valore cifrato standard. A questo punto, l'amministratore può modificare l'algoritmo di cifratura, e quindi ogni utente che successivamente cambierà la sua password avrà la sua password cifrata memorizzata utilizzando l'algoritmo corrente.
Una volta che un utente ha una password che è stata criptata con uno dei nuovi algoritmi, la copia della password che è stata criptata con l'algoritmo legacy viene cancellata. Ciò è necessario per garantire che l'aggressore che accede al file di dati della password non possa scoprire la password attaccando l'algoritmo più debole di legacy . Ma il fatto che si cancelli la password criptata di legacy significa anche che le versioni precedenti non funzioneranno più con quel file di password; da qui il requisito che tutti i moduli funzionino almeno con OpenVOS 17.2.
Non è necessario utilizzare i nuovi algoritmi di crittografia. Un cliente può continuare ad utilizzare l'algoritmo legacy per sempre. Un cliente può anche provare uno dei nuovi algoritmi di cifratura e, in caso di problemi, può tornare all'algoritmo legacy . L'unico requisito è che ogni utente che ha cambiato la propria password mentre il nuovo algoritmo era in vigore dovrà cambiarla di nuovo, perché l'unica volta che criptiamo una password è quando viene cambiata (perché è l'unica volta che ne conosciamo il valore in chiaro).
I nuovi algoritmi sono tratti dal set implementato da libc su sistemi GNU/Linux o FreeBSD, e sono basati sulle funzioni hash MD5, SHA256 e SHA512. Nessuno di essi utilizza DES o 3DES. Dato lo stesso algoritmo e la stessa password di testo in chiaro, il codice VOS produce lo stesso testo cifrato del codice Linux o FreeBSD (in effetti, abbiamo usato il codice FreeBSD nella nostra implementazione). Abbiamo preso questa decisione per rafforzare l'interoperabilità del software open-source tra Linux e i sistemi OpenVOS.
Se non si utilizzano le capacità multi-modulo di VOS, non appena si aggiorna il modulo a OpenVOS 18.0, si può iniziare il processo di passaggio a uno dei nuovi algoritmi di cifratura delle password. Ma come detto in precedenza, questa è un'opzione, non un requisito.
I clienti non sono tenuti a installare OpenVOS 17.2 prima; possono aggiornare direttamente da una release precedente a 18.0. Non è nemmeno richiesto ai clienti di rimanere sulla release 18.0; possono effettuare il downgrade in qualsiasi momento (anche se tutti gli utenti che hanno cambiato la loro password mentre il nuovo algoritmo era in vigore dovranno cambiarla di nuovo in questo caso).
Tutte queste caratteristiche sono completamente documentate nella SRB e nei manuali per il 17.2, e saranno documentate nei manuali 18.0 una volta che il rilascio sarà disponibile.
Raccomando ai clienti che intendono passare ai nuovi algoritmi di cifratura delle password di contattare in anticipo il Centro di assistenza clienti per verificare che il loro piano d'azione sia completo e corretto.
Se avete domande su questo articolo, potete inviarle alla sezione commenti, qui sotto, o contattare un rappresentante di Stratus o il CAC.
Azienda