A distribuição de firewall IPFire, conhecida por sua robustez, segurança e natureza open source, recebeu hoje uma nova atualização: o IPFire 2.29 Core Update 193. Essa versão chega com importantes aprimoramentos de segurança, incluindo a introdução de criptografia pós-quântica.
"Acredita-se que este algoritmo seja seguro contra adversários que possuem um computador quântico e, portanto, está fortalecendo a segurança dos túneis que o utilizam".
Lançada após a IPFire 2.29 Core Update 192, esta nova versão traz suporte ao Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) para túneis IPsec, implementando criptografia resistente a ataques com computadores quânticos.
Esse mecanismo está ativado por padrão para novos túneis que utilizam Curve448, Curve25519, diversos algoritmos de curva elíptica certificados pelo NIST, além de RSA-4096 e RSA-3072.
Outra novidade é a atualização da lista padrão de cifras utilizadas em novos túneis, que agora favorece AES-256 nos modos GCM ou CBC, e ChaCha20-Poly1305, assegurando um alto nível de segurança por padrão.
Segundo Michael Tremer, desenvolvedor do IPFire:
"Essa escolha garantirá que a criptografia moderna seja usada quando disponível, mas o IPFire permanecerá compatível com soluções mais antigas de outros fornecedores. Claro, você pode habilitar isso para túneis existentes na página de configurações avançadas do túnel".
O AES-128 foi removido da lista de cifras padrão por ser considerado menos seguro, e os desenvolvedores ressaltam que, graças à aceleração de hardware, o AES-256 pode oferecer desempenho equivalente na maioria dos casos.
A atualização também inclui uma cadeia de ferramentas revisada, com GNU C Library 2.41, GNU Binutils 2.44, novos firmwares e microcódigos, além de suporte a DNS-over-TLS na lista padrão de serviços. A interface da página "Grupos de Firewall" recebeu melhorias visuais.
Outras correções e ajustes desta versão incluem:
- Resolução de um problema com número de série incorreto que impedia a renovação de certificados IPsec;
- Remoção da lista de bloqueio obsoleta do Botnet C2 do abuse.ch;
- Atualização de diversos componentes e complementos do sistema.
Mais detalhes estão disponíveis na página de anúncio de lançamento, onde também é possível baixar as imagens ISO ou USB desta versão.