Kategorie

W nadchodzącej – 11 – wersji Fedory programiści postanowili zmienić domyślny sposób szyfrowania ważnych komponentów systemu.

Decyzja o zmianie domyślnego sposobu tworzenia haszy została podjęta, gdyż MD5 i SHA-1 są podatne na ataki. Co prawda te ataki nie łamią klucza, jednak pokazują słabe strony tych algorytmów i wymuszają przejście na nowe sposoby szyfrowania. Nowym algorytmem haszującym został SHA-256, gdyż był już wcześniej stosowany w Fedorze, m. in. w szyfrowaniu haseł /etc/shadow.

Nowy algorytm kryptograficzny zostanie użyty w:

• hasze RPM – pliki RPM, koji, spacewalk.
• hasze i sygnatury w repodata/release – yum, createrepo, pungi.
• narzędzia do kopiowania plików i backupu – scp, bacula.

Przejście na nowy algorytm kryptograficzny oczywiście zwiększy odporność na ataki na hasze. Jednakże ataki te nie stanowią obecnie większego zagrożenia dla bezpieczeństwa systemu.  Decyzja ta ma również wymiar polityczny. Pozwoli to na zbudowanie systemu opartego na Fedorze, który będzie mógł być certyfikowany jako system nadający się do użytku w administracji rządowej.

[1] Podatność na ataki MD-5
[2] Podatność na ataki SHA-1
[3] Mocniejsze funkcje haszujące

Tags: bezpieczeństwo, fedora, fedora 11

This entry was posted on piątek, Luty 27th, 2009 at 19:10 and is filed under fedora. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.