In Fedora 35 ist der Wechsel zu yescrypt für die Passwortverschlüsselung geplant.

Für Fedora 35 ist der Wechsel zur Verwendung des Passwort-Hashing-Systems yescrypt geplant. Diese Änderung wurde bislang nicht vom FESCo (Fedora Engineering Steering Committee) behandelt, das für den technischen Teil der Entwicklung der Fedora-Distribution zuständig ist. Im Falle einer Genehmigung wird ab Fedora 35 das Passwort für neue Benutzer in /etc/shadow standardmäßig mit yescrypt gehasht. Die Unterstützung für ältere Hashes, die mit dem zuvor verwendeten Algorithmus sha512crypt erstellt wurden, bleibt erhalten und ist als Option verfügbar. Zu den Distributionen, die bereits auf yescrypt umgestiegen sind, gehören ALT Linux, Debian Testing und Kali Linux.

Yescrypt erweitert die Möglichkeiten des klassischen scrypt, indem es die Nutzung von Speicherschemata mit hohem Speicherbedarf unterstützt und die Effizienz von Angriffen mit GPU, FPGA und spezialisierten Chips reduziert. Die Sicherheit von Yescrypt wird durch den Einsatz überprüfter kryptografischer Primitive wie SHA-256, HMAC und PBKDF2 gewährleistet.

Ein Nachteil des in Fedora verwendeten sha512crypt-Algorithmus ist die Effizienz, die nur bei einer Salt-Größe von über 90 Bit (mindestens 128 Bit empfohlen) gegeben ist; Anfälligkeit für DoS-Angriffe durch die Erzeugung parasitärer Lasten auf der CPU beim Hashing langer Passwörter; Anfälligkeit gegenüber einer Attacke zur Bestimmung der Passwortlänge basierend auf der passiven Analyse der Hashverarbeitungszeit; und der Betrieb ohne Verwendung einer kryptografischen Schlüsselableitungsfunktion (KDF).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster