Arch Linux ​ es una distribución Linux de propósito general orientada a usuarios avanzados

Hace pocos días se dio a conocer por medio de una publicación en el sitio web oficial de Arch Linux, en el cual los desarrolladores han anunciado el cambio en el esquema de hash de contraseña predeterminado, ademas de que también se ha realizado un cambio en la configuración de umask.

En la publicación se menciona que ahora las compilaciones de Arch Linux pasaran de utilizaran el HASH SHA512 a usar yescrypt.

yescrypt es un nuevo esquema para cifrar contraseñas y generar claves criptográficas a partir de contraseñas o frases de contraseña. Yescrypt se basa en scrypt e incluye soporte para scrypt clásico, una modificación conservadora de scrypt (llamada YESCRYPT_WORM) y, finalmente, una modificación profunda de scrypt (llamada YESCRYPT_RW), que se ofrece como la principal (y está implícita en yescrypt de ahora en adelante).

Dentro de las ventajas de Yescrypt, se menciona que este amplía las capacidades del scrypt clásico al admitir el uso de esquemas que consumen mucha memoria y reduce la efectividad de los ataques que utilizan GPU, FPGA y chips especializados. La seguridad de Yescrypt está garantizada mediante el uso de primitivas criptográficas SHA-256, HMAC y PBKDF2 ya probadas.

Yescrypt es el esquema de hash de contraseñas más escalable, ya que proporciona una seguridad casi óptima contra ataques fuera de línea para una amplia gama de tamaños de memoria utilizables, desde kilobytes hasta terabytes y más. Por otro lado, el coste de esto es la complejidad de yescrypt, y la complejidad es una desventaja de cualquier software.

Por esta razón, yescrypt está actualmente destinado a implementaciones grandes (millones de contraseñas) donde la complejidad de yescrypt es pequeña en comparación con la complejidad general del servicio de autenticación. Para implementaciones más pequeñas e integraciones de programas, bcrypt sigue siendo una opción razonable a corto plazo por ahora.

Mientras que por la parte de las desventajas del esquema de hash de contraseñas utilizado anteriormente basado en el algoritmo SHA512 incluyen: la necesidad de establecer valores de sal suficientemente grandes (al menos 128 bits), susceptibilidad a ataques DoS mediante la creación de carga parásita en la CPU al codificar contraseñas largas, susceptibilidad a un ataque que determine el tamaño de la contraseña basándose en el análisis pasivo del tiempo de procesamiento del hash, trabajar sin utilizar la función de derivación de clave criptográfica (KDF, función de derivación de clave).

Además, ahora al usar yescrypt, se almacena la configuración de umask en el archivo de configuración /etc/login.defs en lugar de /etc/profile.

Sobre el cambio de hash, también se menciona que el algoritmo Argon2, que ganó el concurso de hash de contraseñas en 2015, también se consideró como una opción para el hash de contraseñas, pero no se utiliza en Arch Linux porque no es compatible con la biblioteca libxcrypt utilizada en PAM.

Adiciona a ello, hablando sobre las mejoras en Arch Linux, también vale la pena destacar la actualización del instalador Archinstall 2.6.1. Archinstall se puede utilizar en lugar del modo de instalación manual predeterminado de la distribución, proporcionando un modo de instalación guiada y automatizada

En la nueva versión, el usuario ahora tiene la capacidad de configurar un número arbitrario de descargas paralelas, se ha agregado una opción para usar ly como administrador de pantalla de la consola y también usar slick-greeter en lugar de gtk-greeter en lightdm. Al perfil que conforma el entorno basado en el servidor compuesto Hyprland se han añadido las aplicaciones kitty, Dolphin y wofi.

De los demás cambios que se destacan de Archinstall 2.6.1:

• Se corrigió el fallo causado por particiones no compatibles
• Se corrigió que la carga de perfiles de escritorio desde configuraciones preconfiguradas
• Se corrigió el problema de instalación de GRUB en dispositivos MBR debido a un dispositivo de destino incorrecto
• Se corrigieron algunos fallos en la partición manual
• Se solucionó el problema de comandos personalizados
• Permitir asignar puntos de montaje en particiones existentes
• Arreglar la adquisición de UUID
• Ordenar los perfiles ignorando mayúsculas y minúsculas

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.