メインコンテンツへスキップ
検索
可用性OpenVOSブログ

新しいパスワード暗号化アルゴリズムが登場

by 2014年6月24日2019年10月23日ノーコメント

OpenVOSリリース18.0から、VOSシステム管理者は、3つの新しいパスワード暗号化アルゴリズムから1つを選択できるようになります。この記事では、これらの変更点の概要を説明します。

既存のレガシーなVOS暗号化アルゴリズムは、独自の一方向ハッシュ関数であり、その一部としてオリジナルのDESアルゴリズムを組み込んでいます。こちらの記事を参照してください。コンピューティングパワーの進歩により、最初に書かれた時には単に不可能だったブルートフォース攻撃を使うことが可能になりました。そこで、新しいパスワード暗号化アルゴリズムを導入する時が来たのです。実際、他のオペレーティングシステムとの互換性のために、レガシーな VOS アルゴリズムのサポートを維持しつつ、3つの新しいアルゴリズムのサポートを追加しています。

ストラタスは、追加の暗号化アルゴリズムの展開を2つのリリースに分散させた。 OpenVOS 17.2では、複数の暗号化アルゴリズムをサポートするために必要な基礎となるカーネルのサポート、新しいAPI、データ構造が追加されていますが、新しいアルゴリズムの使用を開始することはできません。新しいAPIについては、ここで説明します。OpenVOS 17.2 は過渡的なリリースですので、ユーザーが使用しているソフトウェアを新しい API に変換することをお勧めします。しかし、必ずしも OpenVOS 17.2 を使用しなければならないわけではありません。

OpenVOS 18.0 では、新しいアルゴリズムの使用を開始することができます (必須ではありません)。新しいアルゴリズムを使用するためには、マルチモジュールVOSシステムのすべてのモジュールが17.2または18.0を実行している必要があり、s$encipher_passwordまたはs$get_registration_infoを呼び出すすべてのユーザーソフトウェアが新しいAPIを使用するように更新されている必要があります (バージョン8の構造を持つs$encipher_password2, s$get_registration_info)。マスターモジュールが OpenVOS 18.0 を実行している必要がある。Stratus の一部のレイヤード製品 (Samba、ISP、その他) も更新する必要があります。影響を受けるすべてのレイヤード製品のベースリリースは 17.2 または 18.0 である。最後に、システム管理者は sync_password_info コマンドを実行して、change_password.sysdb ファイルに従来の暗号化された値と新しい標準の暗号化された値の両方を入力する必要があります。この時点で、管理者は暗号化アルゴリズムを変更することができ、その後にパスワードを変更したユーザーは、現在のアルゴリズムを使用して暗号化されたパスワードが保存されます。

ユーザーが新しいアルゴリズムのいずれかを使用して暗号化されたパスワードを持つと、レガシーアルゴリズムで暗号化されたパスワードのコピーは削除されます。これは、パスワードデータファイルへのアクセス権を得た攻撃者が、より弱いレガシーアルゴリズムを攻撃することでパスワードを解読できないようにするために必要です。しかし、レガシーアルゴリズムで暗号化されたパスワードを削除するということは、古いリリースではそのパスワードファイルでは動作しなくなるということを意味します。

新しい暗号化アルゴリズムを使用する必要はありません。顧客はレガシーアルゴリズムを永遠に使い続けることができます。顧客は新しい暗号化アルゴリズムを試してみて、問題が発生した場合は従来のアルゴリズムに戻すこともできます。唯一の要件は、新しいアルゴリズムが有効な間にパスワードを変更したユーザは、再度パスワードを変更しなければならないということです。

新しいアルゴリズムは、GNU/Linux または FreeBSD システム上の libc によって実装されたセットから取得したもので、MD5、SHA256、SHA512 ハッシュ関数に基づいています。いずれも DES や 3DES を使用していません。同じアルゴリズムと同じ平文パスワードが与えられると、VOS のコードはLinux や FreeBSD のコードと同じ暗号文を生成します (実際、私たちの実装では FreeBSD のコードを使用しました)。これは、Linux と OpenVOS システム間のオープンソースソフトウェアの相互運用性を強化するために決定したものです。

VOSのマルチモジュール機能を利用していない場合は、モジュールをOpenVOS 18.0にアップグレードするとすぐに、新しいパスワード暗号化アルゴリズムのいずれかに切り替えるプロセスを開始することができます。しかし、先に述べたように、これはオプションであり、必須ではありません。

顧客は最初に OpenVOS 17.2 をインストールする必要はなく、以前のリリースから直接 18.0 にアップグレードすることができます。また、顧客はリリース18.0に留まる必要はなく、いつでも17.2にダウングレードすることができます(ただし、新しいアルゴリズムが有効な間にパスワードを変更していたすべてのユーザは、この場合、再度パスワードを変更しなければなりません)。

特長 これらはすべて17.2のSRBとマニュアルに完全に記載されており、リリースが可能になったら18.0のマニュアルに記載される予定です。

新しいパスワード暗号化アルゴリズムへの切り替えを計画しているお客様には、事前にカスタマーサポートセンターに連絡して、自分の行動計画が完全で正しいかどうかを確認することをお勧めします。

この投稿についてご質問がある場合は、下記のコメント欄に投稿していただくか、ストラタスの担当者または CAC にお問い合わせください。

 

 

メニューを閉じる

© 2024 Stratus Technologies.