The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Fedora 35 намечен переход на yescrypt для хэширования паролей

08.06.2021 09:40

Для реализации в Fedora 35 намечен переход на использование схемы хеширования паролей yescrypt. Изменение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. В случае одобрения изменения начиная с Fedora 35 пароли для новых пользователей в /etc/shadow будут по умолчанию хэшироватся при помощи yescrypt. Поддержка старых хэшей, созданных на базе ранее применяемого алгоритма sha512crypt, будет сохранена и доступна в форме опции. Из дистрибутивов уже перешедших на yescrypt можно отметить ALT Linux, Debian Testing и Kali Linux.

Yescrypt расширяет возможности классического scrypt поддержкой использования схем с большим расходом оперативной памяти и снижает эффективность атак, использующих GPU, FPGA и специализированные чипы. Безопасность Yescrypt обеспечивается благодаря применению уже проверенных криптографических примитивов SHA-256, HMAC и PBKDF2.

Из недостатков применяемого в Fedora алгоритма sha512crypt отмечается эффективность только при размере salt, превышающем 90 бит (рекомендуется не менее 128 бит); подверженность DoS-атакам через создание паразитной нагрузки на CPU при хэшировании длинных паролей; подверженность атаке по определению размера пароля на основе пассивного анализа времени обработки хэша; работа без применения криптографической функции формирования ключа (KDF, key derivation function).

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Выпуск механизма управления теневыми паролями tcb 1.2
  3. OpenNews: Обновление схемы хеширования паролей yescrypt 1.1.0
  4. OpenNews: Выпуск yescrypt 1.0.0, новой схемы хеширования паролей
  5. OpenNews: В Fedora 34 планируют задействовать PipeWire для звука вместо PulseAudio
  6. OpenNews: Лицензия сканера безопасности NMAP признана несовместимой с Fedora
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/55294-yescrypt
Ключевые слова: yescrypt, fedora
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, lockywolf (ok), 09:52, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Теперь точно никто не сломает!
     
     
  • 2.6, хацкер (??), 10:19, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    посмотрим! ;)
     
  • 2.43, penetrator (?), 17:42, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лучше бы selinux для VNC починили калечи, баг весит начиная с 28 федоры, в 31-ой воспроизводится, в 34 все еще там же

    стабильность

    в шапке 8ой таких проблем нет, но ядро 4-ое

     

  • 1.2, Жироватт (ok), 10:02, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Самая лучшая безопасность - не давать вообще никакого физического доступа к машине для взломщика.
     
     
  • 2.3, Аноним (3), 10:09, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    снимаю шляпу, кэп
     
     
  • 3.25, Аноним (25), 11:54, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это Фёдор Бондарчук снимает шляпу
     
     
  • 4.44, Gogi (??), 18:46, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И в отличии от Бондарчука, Боярский вообще не снимает шляпу. Даже в ванне.
     
  • 2.4, Anonimous (?), 10:10, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, но как вы написали этот коммент с пк без соединения в интернет? По другому, ведь, всегда есть потенциальная возможность использовать разного рода уязвимости на вашей системе...
     
     
  • 3.19, ryoken (ok), 11:32, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >> но как вы написали этот коммент с пк без соединения в интернет?

    Секретная лор-овская разработка - libastral :D.

     
  • 2.5, Annoynymous (ok), 10:15, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Есть способ лучше. Не делать компьютеры вообще. Нет компьютера — нет проблемы.
     
  • 2.30, Аноним (30), 13:40, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Самая лучшая безопасность - не включать.
     
     
  • 3.42, Аноним (42), 17:35, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    мало. Надо сетевой провод выдернуть и вафлю выломить.
     
     
  • 4.51, Аноним (51), 01:27, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И всё засунуть в клетку Фарадея.
     

  • 1.7, Аноним (7), 10:40, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не тестовый полигон. Твёрдо и чётко.
     
     
  • 2.18, анонимус (??), 11:27, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Намекаешь, что тестовый полигон ALT Linux, Debian Testing и Kali Linux?
     
     
  • 3.26, Michael Shigorin (ok), 12:47, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю за кальян, а вот в альте так-то давно знакомы с solar@.  Поэтому если в федоре ещё лет через десять снимутся с якоря океанского лайнера и затащат к себе http://altlinux.org/control -- см. тж. http://openwall.com/Owl/ru/CONCEPTS.shtml -- появится ещё один повод поставить плюсик соответствующей новости здеся и порадоваться за коллег тама :-)

    PS: эх, потёрли остроумников -- так-то да, считают, как ни странно.

     
  • 2.23, Аноним (23), 11:51, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Партия сказала перейти.
     

  • 1.8, Нанобот (ok), 10:42, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > схем с большим расходом оперативной памяти

    Сколько гигабайт памяти нужно, чтобы войти в систему?

     
     
  • 2.9, Аноним (9), 10:45, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Причём сколько гигабайт памяти нужн в видеокарте.
     
  • 2.10, DeerFriend (?), 10:48, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На очереди, за видеокартами и жесткими дисками, взлёт цен на RAM.
     
     
  • 3.24, Аноним (23), 11:52, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Для взлёта цен на RAM лучше обратиться за помощью к Electron'щикам.
     
  • 2.40, solardiz (ok), 15:57, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С настройками по умолчанию, 16 MiB. Упомянутое в новости отличие от scrypt (поддержка большого ROM) не имеет отношения к использованию yescrypt в дистрибутивах Linux (в libxcrypt включена упрощенная реализация yescrypt, без ROM).
     

  • 1.11, maximnik0 (?), 10:49, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >Из дистрибутивов уже перешедших на yescrypt можно отметить ALT Linux

    Это что получается- из "не взламываемой" схемы TCB перешли на  yescrypt?

     
     
  • 2.27, Michael Shigorin (ok), 12:48, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это абсцисса и ордината, если что.
     
     
  • 3.36, Аноним (36), 15:14, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для АНБ любой вектор взлома подойдёт.
     
     
  • 4.48, Аноним (48), 23:14, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тут ведь как, или вы обосновано боитесь АНБ, или вы пользуетесь дистрибутивом со всеми дефолтными настройками, включая шифрование. Одно из двух.
     
     
  • 5.52, Аноним (51), 01:29, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    АНБ не боюсь. Пользуюсь дефолтными настройками... а, стоп, у меня же не Linux.
     

  • 1.12, Аноним (12), 11:02, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто использует как основную ос на десктопе? Как впечатления?
     
     
  • 2.17, АнонимН (?), 11:22, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сам ПК на центоси в роли гипервищора, а вот пользовательские ВМ - на федоре. Флатпак порой чудит, но в целом впечатления отличные. Ранее был опыь пользования на декстопе винды и убунты.
     
     
  • 3.21, Аноним (12), 11:39, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     
  • 2.33, Аноним (33), 14:41, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня единственная система на десктопе Fedora, сейчас 34 версия, сижу уже где-то с 25 или 26 версии. Да, бывало что-то сломают, потом починят, но в целом, последнии пару лет стала намного стабильнее, быстрее, лучше, удобнее. Вообще не ощущается, что это некий тестовый полигон, впрочем я простой пользователь, что мне надо отлично работает, играю в стиме - все нормально.
     
  • 2.47, Аноним (-), 21:36, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Всё нормально. После успеха на десктопе накатил и на сервер, ибо надоело тратить время на всякие мудрёные настройки. Попсовый дистр для людей.
     

  • 1.13, Аноним (13), 11:06, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как узнать, чё там используется? У меня вообще md5 вроде, только недавно же с md4 переходили и тут уже какие-то новые!
     
     
  • 2.14, Аноним (13), 11:07, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Коллизии это проблема на самом деле, мой пароль в 100+ символов вряд ли подберут.
     
     
  • 3.15, Плюсовик (?), 11:11, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Неуловимый Джо, кому ты нужен?
     
     
  • 4.16, Аноним (13), 11:14, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Неуловимый Джо, кому ты нужен?

    Да и я про то.

     
  • 4.22, Плюсовик (?), 11:41, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сколько бы минусов не добавляли - все равно как были неуловимыми Джо так и останетесь)
     
  • 2.34, Ordu (ok), 14:57, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А как узнать, чё там используется?

    С этим yesno, не знаю, но в целом смотришь хеш пароля в /etc/shadow, он состоит из нескольких полей разделённых $. Первое поле -- это число, указывающее на алгоритм.

    > У меня вообще md5 вроде, только недавно же с md4 переходили и тут уже какие-то новые!

    Вряд ли. Я думаю, что скорее какой-нибудь sha512

     
     
  • 3.35, Аноним (13), 15:07, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, если верить манам, то sha512.
     
  • 2.46, бутерброд со стекловатой (?), 20:13, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    /etc/pam.d/common-password
     

  • 1.20, Аноним (20), 11:38, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    # guix system image -t iso9660 GNU–SYSTEM/inst007.scm

    Сколько на взлом уйдет времени?

     
  • 1.28, Аноним (28), 13:26, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Из недостатков применяемого в Fedora алгоритма sha512crypt отмечается эффективность только при размере salt, превышающем 90 бит (рекомендуется не менее 128 бит);

    Не хвастаюсь, но KeePass говорит, что у меня ~500 бит. Не рандом.
    Мне опасаться тов.Майора нечего?

     
     
  • 2.29, Аноним (-), 13:31, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Мне опасаться тов.Майора нечего?

    А есть за что? Тогда в первую очередь опасайся тов. Бутылько.


     
     
  • 3.31, Аноним (31), 13:57, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А есть за что?

    в этой стране выбирать не приходится

     
     
  • 4.32, Аноним (20), 14:22, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а в той тем более выбирать не приходится
     
     
  • 5.38, Аноним (13), 15:43, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > а в той тем более выбирать не приходится

    вот кстати ваша правда, глупенькие просто не понимают своего счастья жить в одной из лучших стран на свете (за мкадом жизни нет, ага)

     
  • 2.39, Аноньимъ (ok), 15:50, 08/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь когда вы сообщили что не рандом, ещё и длину пдсказали...
     

  • 1.41, Аноним (41), 16:10, 08/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у Арча другие новости. https://archlinux.org/news/sorting-out-old-password-hashes/
     
  • 1.50, Ilya Indigo (ok), 01:08, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чем Aragon2 не устроил?
    NIH?
     
     
  • 2.56, Stax (ok), 18:04, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Новость не читай, по ссылкам не ходи, комментарий пиши Там же есть сравнение ... большой текст свёрнут, показать
     
     
  • 3.58, Ilya Indigo (ok), 20:43, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарю!
    Новость я читал, но ходить по английским ссылкам для меня проблематично.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру