Thread

Zero-JS Hypermedia Browser

Relays: 5
Replies: 0
Generated: 07:55:03
avatar
Aprova notas npub1fmat...dahe
### **Às vezes a desatualização é preferível** Lembro de uma vez que houve uma ameaça em um pacote do Linux que vinha para Ubuntu e todos os que atualizaram a última versão estavam vulneráveis, nesse caso era desejável permanecer na versão antiga e seria ideal que aqueles que haviam atualizado, desatualizassem a versão. No contexto no qual estou escrevendo essa nota, não é este o caso. A versão mais recente do OpenKeychain, atualmente 60400, tem um detalhe que me incomodou desde o início: substituiu o algoritmo de checagem SHA512, que existia na versão anterior, pelo SHA256, um tipo de afrouxamento da segurança, talvez pensando em consumir menos recursos computacionais. Quando descobri isso, deixei minha observação no GitHub imediatamente e fui sistematicamente ignorado. Tentei fazer a desatualização e não consegui, porque usando compartimentalização, que dá para usar o mesmo app em outros compartimentos, desinstalar o app em um deles e deixar instalado em outro impede que uma versão diferente seja instalada, por isso não consegui e achava que era impossível fazer. Hoje, depois de uma ajudinha de uma inteligência artificial para fazer uma pesquisa aprofundada, descobri que a versão anterior não possui vulnerabilidades relatadas e que a versão vigente só corrigiu bugs reportados que não impactavam a segurança e implementou o recurso adcional de geração de outros tipos de chaves, por exemplo as chaves NIST. Isso parece significar que a versão antiga, 58902, é tão segura quanto a recente. Em suma, fiz a troca e estou muito satisfeito. Se você usa a versão mais recente, não está vulnerável por usar SHA256, é um algoritmo muito robusto para assinaturas, as criptomoedas e até o NOSTR usa-o, mas o SHA512 é superior, mesmo que pareça ser supérfluo, para mim significa tornar o uso da chave um pouquinho mais seguro é positivo para mim. Lembrando que a recomendação é deixar sempre os softwares atualizados, via de regra. Principalmente aqueles que se conectam à internet e que também não é recomendável atualizar assim que sai uma versão nova, esperar 24 horas é sábio, a menos que haja uma correção de problema severo de segurança. Usar apps desatualizados pode ser perigoso, se optar por isso, faça uma pesquisa antes e procura saber sobre vulnerabilidades corrigidas em versões mais recentes. #pgp #gpg #chaves #downdate #desatualização #privacidade #segurança #algoritmos #sha512 #sha256 #hash #checagem #checksum #brasil
2025-07-24 17:56:55 from 1 relay(s) ↑ Parent
Login to reply