### **Às vezes a desatualização é preferível**
Lembro de uma vez que houve uma ameaça em um pacote do Linux que vinha para Ubuntu e todos os que atualizaram a última versão estavam vulneráveis, nesse caso era desejável permanecer na versão antiga e seria ideal que aqueles que haviam atualizado, desatualizassem a versão.
No contexto no qual estou escrevendo essa nota, não é este o caso.
A versão mais recente do OpenKeychain, atualmente 60400, tem um detalhe que me incomodou desde o início: substituiu o algoritmo de checagem SHA512, que existia na versão anterior, pelo SHA256, um tipo de afrouxamento da segurança, talvez pensando em consumir menos recursos computacionais. Quando descobri isso, deixei minha observação no GitHub imediatamente e fui sistematicamente ignorado.
Tentei fazer a desatualização e não consegui, porque usando compartimentalização, que dá para usar o mesmo app em outros compartimentos, desinstalar o app em um deles e deixar instalado em outro impede que uma versão diferente seja instalada, por isso não consegui e achava que era impossível fazer.
Hoje, depois de uma ajudinha de uma inteligência artificial para fazer uma pesquisa aprofundada, descobri que a versão anterior não possui vulnerabilidades relatadas e que a versão vigente só corrigiu bugs reportados que não impactavam a segurança e implementou o recurso adcional de geração de outros tipos de chaves, por exemplo as chaves NIST. Isso parece significar que a versão antiga, 58902, é tão segura quanto a recente.
Em suma, fiz a troca e estou muito satisfeito. Se você usa a versão mais recente, não está vulnerável por usar SHA256, é um algoritmo muito robusto para assinaturas, as criptomoedas e até o NOSTR usa-o, mas o SHA512 é superior, mesmo que pareça ser supérfluo, para mim significa tornar o uso da chave um pouquinho mais seguro é positivo para mim.
Lembrando que a recomendação é deixar sempre os softwares atualizados, via de regra. Principalmente aqueles que se conectam à internet e que também não é recomendável atualizar assim que sai uma versão nova, esperar 24 horas é sábio, a menos que haja uma correção de problema severo de segurança. Usar apps desatualizados pode ser perigoso, se optar por isso, faça uma pesquisa antes e procura saber sobre vulnerabilidades corrigidas em versões mais recentes.
#pgp #gpg #chaves #downdate #desatualização #privacidade #segurança #algoritmos #sha512 #sha256 #hash #checagem #checksum #brasil
Login to reply
Replies (8)
Bom conselho. Essa atualização de fato é meio sem sentido, o SHA512 consegue gerar hashes maiores e mais únicos, por isso é tão usado em autenticadores.
Substituir ele pelo SHA256 não é ruim, mas é inferior. Nem o BTC usa o SHA256, e sim o Double SHA256 justamente para evitar uma potencial falha causada por colisões.
Achei macaquísse.
É meio estranho eles fazerem isso. Se mexessem no hash que fosse para aprimorar, implementando SHA3-512, por exemplo.
### **Às vezes a desatualização é preferível**
Lembro de uma vez que houve uma ameaça em um pacote do Linux que vinha para Ubuntu e todos os que atualizaram a última versão estavam vulneráveis, nesse caso era desejável permanecer na versão antiga e seria ideal que aqueles que haviam atualizado, desatualizassem a versão.
No contexto no qual estou escrevendo essa nota, não é este o caso.
A versão mais recente do OpenKeychain, atualmente 60400, tem um detalhe que me incomodou desde o início: substituiu o algoritmo de checagem SHA512, que existia na versão anterior, pelo SHA256, um tipo de afrouxamento da segurança, talvez pensando em consumir menos recursos computacionais. Quando descobri isso, deixei minha observação no GitHub imediatamente e fui sistematicamente ignorado.
Tentei fazer a desatualização e não consegui, porque usando compartimentalização, que dá para usar o mesmo app em outros compartimentos, desinstalar o app em um deles e deixar instalado em outro impede que uma versão diferente seja instalada, por isso não consegui e achava que era impossível fazer.
Hoje, depois de uma ajudinha de uma inteligência artificial para fazer uma pesquisa aprofundada, descobri que a versão anterior não possui vulnerabilidades relatadas e que a versão vigente só corrigiu bugs reportados que não impactavam a segurança e implementou o recurso adcional de geração de outros tipos de chaves, por exemplo as chaves NIST. Isso parece significar que a versão antiga, 58902, é tão segura quanto a recente.
Em suma, fiz a troca e estou muito satisfeito. Se você usa a versão mais recente, não está vulnerável por usar SHA256, é um algoritmo muito robusto para assinaturas, as criptomoedas e até o NOSTR usa-o, mas o SHA512 é superior, mesmo que pareça ser supérfluo, para mim significa tornar o uso da chave um pouquinho mais seguro é positivo para mim.
Lembrando que a recomendação é deixar sempre os softwares atualizados, via de regra. Principalmente aqueles que se conectam à internet e que também não é recomendável atualizar assim que sai uma versão nova, esperar 24 horas é sábio, a menos que haja uma correção de problema severo de segurança. Usar apps desatualizados pode ser perigoso, se optar por isso, faça uma pesquisa antes e procura saber sobre vulnerabilidades corrigidas em versões mais recentes.
#pgp #gpg #chaves #downdate #desatualização #privacidade #segurança #algoritmos #sha512 #sha256 #hash #checagem #checksum #brasil
El nardo, esse é você ou alguém se passando por você?
nostr:npub1fmate8mlw5v003vmreraqgf9yuuzkjwmh67ejhwwsnk5m0w6kywqwhdahe
Eu tinha avisado anteriormente que faria outro perfil, baseado na chave privada de uma derivação personalizada de endereços da minha brain wallet.
Sou eu mesmo.
Bem, só porque a versão antiga dum pacote não tem vulnerabilidades relatadas, isso não significa que ele seja mais seguro que o outro: ele pode ter vulnerabilidades não relatadas.
O ideal que é um pacote de código aberto tenha seu código auditado por diferentes times externos de programadores, quando ele incorporar qualquer mudança importante.
Verdade.