Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek i s náhledy aplikací v Týden v GNOME a Týden v KDE.
Organizace Apache Software Foundation (ASF) vydala verzi 20 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Desktopové prostředí Cinnamon, vyvíjené primárně pro distribuci Linux Mint, dospělo do verze 6.0. Seznam změn obsahuje především menší opravy a v říjnovém přehledu novinek v Mintu avizovanou experimentální podporu Waylandu.
OpenZFS (Wikipedie), tj. implementace souborového systému ZFS pro Linux a FreeBSD, byl vydán ve verzích 2.2.2 a 2.1.14. Přináší důležitou opravu chyby vedoucí k možnému poškození dat.
V ownCloudu byly nalezeny tři kritické zranitelnosti: CVE-2023-49103, CVE-2023-49104 a CVE-2023-49105 s CVSS 10.0, 8.7 a 9.8. Zranitelnost CVE-2023-49103 je právě využívána útočníky. Nextcloudu se zranitelnosti netýkají.
I letos vychází řada ajťáckých adventních kalendářů. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2023. Pro programátory v Perlu je určen Perl Advent Calendar 2023. Zájemci o UX mohou sledovat Lean UXmas 2023. Pro zájemce o kybernetickou bezpečnost je určen Advent of Cyber 2023…
Byla vydána verze 2.12 svobodného video editoru Flowblade (GitHub, Wikipedie). Přehled novinek v poznámkách k vydání. Videoukázky funkcí Flowblade na Vimeu. Instalovat lze také z Flathubu.
Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 23.11 Topi. Přehled novinek v Changelogu.
Po 4 měsících vývoje byla vydána nová verze 4.2 multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu a na YouTube.
Byla vydána nová stabilní verze 23.11 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Tapir. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.
Hlavně nesmíte pustit útočníka ke kabelu, ve kterém tečou rámce z dotčené VLAN. Pamatujte, že VLAN je jenom o označkování ethernetových rámců, nic se nikde nešifruje.
A vzhledem k tomu, že uhlídat víc jak metr drátu je nemožné, silně doporučuji zavést šifrování.
O SHA-1 se říká, že „brzy“ bude „prolomen“. Nicméně v případě IPsecu se dočasné klíče mění celkem rychle (záleží jakou máte nastavenou periodu, ale rozhodně to nejsou měsíce nebo roky, které budou pro SHA-1 nebezpečné).
O blowfish moc nevím. Snad jen že jeho následník twofish má v Linuxu implementaci přímo v assembleru, takže by mohl být rychlejší při stejném stupni zabezpečení.
Nastudujte si, jak IPsec funguje, mnoho problémů se vám vyjasní.
IPsec sám o sobě používá neměnné klíče a oba konce musí mít stejnou konfiguraci (výběr kryptografických algoritmů). Protože to je nebezpečné a obtížné, používá se na dohodnutí parametrů a periodickou výměnu šifrovacích klíčů IKE protokol a odpovídající user space démon (UDP port 500). V Linuxu a BSD to bývá démon Racoon.
Racoon podle security policies dohodne s druhou stranou vyhovujcí algoritmy, pomocí klíčů/certifikátů ze své konfigurace (nikoliv setkey.conf) se vzájemně oba konce autentizují a dohodnou dočasné šifrovací klíče a do jádra zavedou security association (transportní adresy, IPsec režim, AH nebo ESP, dočasné šifrovací klíče), které pak jádro použije pro vytvoření IPsec hlaviček a zašifrování dat.
V setkey.conf pak jsou uvedeny jen politiky definující, jaký provoz se může/musí autentizovat nebo šifrovat a jestli má jít přímo nebo přes tunel.
Funguje to tak, že jádro když jádro má odeslat packet, tak když packet vyhovuje politice, zkusí najít asociaci. Když neexistuje, tak jádro zavolá IKE démona, ať se urychleně dohodne s druhou stranou, démon to udělá, jádru vrátí asociaci a jádro ji použije pro zašifrování packetu, který následně odešle.
Takže to není míň nebezpečný, jen pracnější?
PSK je samozřejmě méně bezpečný než použití asymetrické kryptografie, hlavní důvody jsem se pokoušel naznačit.
klíč nikdy nevyprší narozdíl od certifikátů
Pokud si generujete své vlastní certifikáty, je čistě na vás, jakou jim nastavíte platnost. Ale na vašem místě bych se zamyslel nad tím, jestli časově omezená platnost certifikátů nemá svůj důvod.
Takže jen PSK se použije jen jednou při autentizaci protistran a pak už to běží jen po dohodnutých dynamických klíčích?
Ne jen jednou, používá se při výměně klíčů. Ale pořád je to automatický režim, takže se PSK nepoužívá pro šifrování vlastní komunikace, to je rozdíl oproti manuálnímu režimu, kdy definujete přímo SA.
Takže z toho vyplývá, že pokud bezpečně nastavím PSK na obou stranách(+ nastavím na soubor chmod 400), je to vy výsledku stejně bezpečné jako certifikáty?
Už jsem vám napsal že ne a napsal jsem i proč ne.
A když se PSK používá při výměně klíčů, tak se posílá přes síť přímo získaný hash nebo je to v rámci už vytvořené šifrované komunikace? Protože pokud ne tak to může přeci leckdo odposlouchat.
Používá se Diffie-Hellmanův algoritmus výměny klíčů. Pre-shared key slouží k tomu, abyste měl jistotu, že si klíč vyměňujeteo opravdu s tím, s kým si myslíte. Což lze ale snáze - a bezpečněji - zajistit pomocí asymetrické kryptografie.
Můj názor je, že jediná situace, kdy má smysl použít PSK, je ta, když je na jedné straně zařízení, které jinou metodu autentizace neumí (což je případ některých embedded implementací).
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
ping -c 1' do startovacího skriptu racoon.
Packet pozdržený v jádře kvůli čekání na asociaci, blokuje volání jádra, takže pokud aplikace používá blokující operace, tak se prostě uspí. (Samozřejmě je tam časový limit na získání asociace, když IKE nefunguje, tak po nějaké době vrátí systém chybu (s docela podivným názvem, na který si teď nevzpomenu)).
Pokud aplikace používá neblokující operace, tak záleží, jak má nastavené časové limity. Obecně si ale myslím, že několik sekund, kolik trvá zavedení asociace i na poměrně starých strojích, by měly aplikace pojmout. Pokud tomu tak není, pak stojí za otázku, zda jsou vaše aplikace vhodně nastavené.
Pokud vám aplikace vůbec nenaběhnou, protože jsou špatně napsané a nesnesou větší zpoždění, tak si je opravte nebo zasáhněte do startovacích závislostí startovacích skriptů. (Stejný problém se stejně musí řešit při čekání na potvrzení použitelnosti IPv6 adresy rozhraní nebo náběh linkové vrstvy rádiových rozhraní. Takže blbě napsaná aplikace se projeví i tak.)
Žádný udržovací ping není třeba, neboť asociace se drží v jádře velmi dlouho a ustanovení nových klíčů probíhá asynchronně (racoon si to hlídá a vymění je dříve, než starým vyprší platnost). Samozřejmě pokud byste měl stroj s tisíci asociacemi, pak by asi začaly vypadávat z paměti, ale u pár záznamů se nic takového neděje.
Prakticky vzato po prvním pokusu o spojení, které trvá déle, vše pak funguje hladce. Aspoň to jsou moje zkušenosti. Vyzkoušejte poslední verzi racoonu a nastavte si rozumnou životnost dočasných šifrovacích klíčů v racoonu. (Já mám ipsec-tools-0.7.3 a lifetime time 1 hour.)
U SHA-1 se očekává nanejvýš nalezení kolizí. Že by ji někdo byl schopen v dohledné době prolomit v tom smyslu, že by bylo nebezpečné ji použít pro zabezpečení komunikace, je krajně nepravděpodobné, to zatím nikdo neumí ani pro MD5, pro kterou už je dnes hledání kolizí rychlou a nenáročnou záležitostí.
Nechci samozřejmě bagatelizovat otázku důvěryhodnosti MD5 a SHA-1, ale na druhou stranu není důvod k panice a představám, že jak použijete MD5, okamžitě se vám tam někdo nabourá.
Tiskni
Sdílej:
