Брандмауэр IPFire Linux получил поддержку постквантовой криптографии для туннелей IPsec

Вышло обновление IPFire 2.29 Core Update 193 – мощного, открытого и безопасного дистрибутива брандмауэра на базе Linux, предназначенного для защиты сетей от развивающихся киберугроз, внедряющих постквантовую криптографию.

«Считается, что этот алгоритм безопасен для злоумышленников, обладающих квантовым компьютером, поэтому безопасность туннелей, в которых он используется, повышается».

Релиз IPFire 2.29 Core Update 192, выходящий вслед за IPFire 2.29 Core Update 193, вводит поддержку постквантовой криптографии с использованием механизма инкапсуляции ключей на основе модулей-решеток (ML-KEM) в туннелях IPsec.

Интересно: Новая версия дистрибутива IPFire 2.29 Core Update 192 теперь работает на ядре Linux 6.12 LTS

Эта функция включена по умолчанию для новых туннелей, использующих алгоритмы Curve448, Curve25519, различные другие сертифицированные NIST алгоритмы эллиптических кривых, а также RSA-4096 и RSA-3072.

Кроме того, в новом выпуске IPFire обновлен список шифров по умолчанию для новых туннелей: по умолчанию используется AES-256 в режиме GCM или CBC, а также ChaCha20-Poly1305.

«Этот выбор обеспечит использование современной криптографии, когда она доступна, но IPFire останется совместимым с более старыми решениями других производителей. Конечно, вы можете включить эту функцию для существующих туннелей на странице дополнительных настроек туннеля»
- сказал разработчик IPFire Майкл Тремер

Криптографический алгоритм AES-128 был удален из списка шифров IPFire по умолчанию, поскольку он имеет более слабую защиту, и разработчики заявили, что большинство аппаратных средств имеют ускорение для AES, а AES-256 всегда должен обеспечивать такую же пропускную способность.

IPFire 2.29 Core Update 193 также поставляется с обновленным инструментарием, включающим GNU C Library 2.41 и GNU Binutils 2.44, обновленными прошивками и микрокодами, поддержкой DNS-over-TLS в списке служб по умолчанию и некоторыми эстетическими улучшениями для страницы Firewall Groups.

Кроме того, в этом выпуске IPFire исправлена ошибка с неправильным серийным номером, которая не позволяла обновить сертификат хоста IPsec, удален прекративший свое существование блок-лист Botnet C2 с сайта abuse.ch, а также обновлено несколько компонентов и дополнений.

Более подробную информацию об изменениях, включенных в IPFire 2.29 Core Update 193, который доступен для загрузки с той же страницы в виде ISO- или USB-образов, можно найти на странице анонса релиза.