La distribución SparkyLinux lanza su versión 7.7, una actualización puntual dentro de su rama estable «Orion Belt», ofreciendo novedades relevantes para usuarios que valoran rendimiento, estabilidad y compatibilidad con Debian. Esta entrega sigue el modelo de mantenimiento trimestral, lo que significa que los sistemas ya instalados pueden mantenerse al día simplemente con las actualizaciones automáticas, sin necesidad de reinstalaciones completas.

Basada completamente en Debian 12 “Bookworm”, SparkyLinux 7.7 integra lo último de los repositorios estables de Debian y sus propios repositorios, consolidándose como una opción sólida para todo tipo de usuarios, desde quienes se inician en Linux hasta aquellos con más experiencia. Esta versión ha sido afinada para brindar una experiencia de usuario fluida, sin comprometer el rendimiento en equipos más modestos.

Actualizaciones generales y soporte extendido en SparkyLinux 7.7

Una de las actualizaciones más destacadas de SparkyLinux 7.7 es la inclusión de nuevos núcleos Linux, adaptados tanto para sistemas PC como para plataformas ARM. En sistemas de escritorio, se incluye el kernel LTS 6.1.129, mientras que también se proporciona acceso a versiones más recientes como 6.14.1, 6.12.22-LTS y 6.6.86-LTS a través de los repositorios de Sparky.

En dispositivos ARM, la versión 6.12.20-LTS asegura compatibilidad y rendimiento mejorado. Todo este soporte se traduce en una mayor cobertura de hardware, mejor detección de periféricos y menor probabilidad de errores o cuelgues durante el uso diario.

Escritorios y entorno gráfico al gusto del usuario

Uno de los puntos fuertes de SparkyLinux 7.7 es la variedad de entornos de escritorio disponibles, que se adaptan a diferentes preferencias de uso y capacidades del hardware. Entre las opciones más destacadas, se encuentran:

• KDE Plasma 5.27.5, para quienes buscan una experiencia moderna y personalizable.
• LXQt 1.2.0, una interfaz ligera ideal para equipos con menos recursos.
• MATE 1.26, popular entre los que prefieren entornos clásicos y estables.
• Xfce 4.18, combinación de ligereza y funcionalidad.
• Openbox 3.6.1, para usuarios avanzados que priorizan velocidad y control total.

Estos escritorios están disponibles tanto en instalaciones completas como en versiones minimalistas (MinimalGUI y MinimalCLI), pensadas para quienes desean configurar el sistema desde cero o utilizarlo en dispositivos con requisitos específicos. Si te interesa profundizar en más distribuciones livianas de Linux, puedes consultar nuestra lista de distribuciones ligeras.

SparkyLinux introduce actualizaciones de software clave

SparkyLinux 7.7 también se preocupa por mantener actualizado el software de uso cotidiano. Así, los usuarios encontrarán versiones recientes de herramientas esenciales como:

• LibreOffice 7.4.7, aunque también se puede acceder a la versión 25.2.2 desde los repositorios backports de Debian.
• Firefox ESR 128.9.0, con opción de instalar la versión 137.0.1 desde los repositorios de Sparky.
• Thunderbird ESR 128.9.0, para gestión de correo electrónico con garantía de estabilidad y soporte prolongado.

Estas versiones aseguran compatibilidad con documentos recientes, navegación segura y acceso a funciones modernas sin sacrificar la estabilidad del sistema.

Correcciones importantes y mejoras en la instalación

Entre las correcciones relevantes en esta versión figura una solución al instalador tipo CLI de Sparky, que presentaba fallos al seleccionar escritorios distintos del predeterminado. Esta mejora facilita la personalización desde la instalación inicial, algo que muchos usuarios valoran especialmente, sobre todo los que vienen de versiones anteriores de Sparky.

Además, se mantiene la filosofía de no forzar reinstalaciones: los usuarios con sistemas Sparky 7 ya operativos solo necesitan mantener sus paquetes al día mediante las actualizaciones regulares.

Disponibilidad de SparkyLinux 7.7 y versiones para distintas arquitecturas

SparkyLinux 7.7 está disponible para múltiples plataformas y arquitecturas, lo que lo convierte en una distribución versátil para distintos escenarios de uso. Las versiones disponibles incluyen:

• amd64 BIOS/UEFI + Secure Boot: versiones completas con Xfce, LXQt, MATE, KDE Plasma; además de MinimalGUI (Openbox) y MinimalCLI (modo texto).
• i686 sin PAE (Legacy): sólo se ofrece en versiones minimalistas Openbox y CLI, ideales para equipos antiguos, una opción que destaca la flexibilidad de Sparky.
• ARMHF y ARM64: disponibles con Openbox o en modo CLI, útiles para placas como Raspberry Pi.

Las imágenes ISO pueden descargarse directamente desde la web oficial de SparkyLinux y están listas para ser utilizadas en modo Live o para una instalación permanente. Los datos de acceso para las sesiones en vivo son los siguientes: usuario ‘live’ con contraseña ‘live’ en PC, y usuario ‘pi’ con contraseña ‘sparky’ en ARM.

Quienes buscan un sistema ligero, funcional y cercano a Debian, sin la carga de configuraciones innecesarias, esta versión de Sparky representa una alternativa muy completa. Con un enfoque práctico y constante evolución, este proyecto sigue manteniéndose relevante dentro del ecosistema Linux.

from Linux Adictos https://ift.tt/MOAoDFR
via IFTTT

Clem Lefebvre ha publicado la nota de Linux Mint de abril de 2025, la que corresponde a marzo de este año. En ella se tratan diferentes puntos, pero el más llamativo está relacionado con la edición con base Debian, LMDE, y la posibilidad de que venga pre-instalado en equipos. Dicho de otro modo, es una novedad que permitirá a los fabricantes vender equipos con LMDE instalado por defecto, por lo que los usuarios ya no tendrían que hacerlo por su cuenta.

OEM son las siglas de «Original Equipment Manufacturers», y se usan para referirse tanto a fabricantes como a cualquier compañía, sea grande o pequeña, que vende ordenadores. También pueden usar la función personas que quieren donar o vender sus equipos.

Cuando queremos preparar un ordenador para venderlo, es probable que no conozcamos a su futuro dueño, por lo que no podemos elegir usuario y contraseña. Los fabricantes probablemente ni sepan el idioma en el que será usado. Una instalación OEM instala el sistema operativo, pero deja el resto de la configuración a cargo de quien lo inicie por primera vez.

Linux Mint sigue mejorando Wayland

Entre el resto de mejoras, Clem destaca que están trabajando en añadir soporte para distribuciones de teclado y métodos de entrada en Wayland para Cinnamon, el escritorio que desarrolla el proyecto Linux Mint. En estos momentos, todo esto ya funciona, pero no está perfecto. Son buenas noticias para el avance en Wayland, pero puede presentar problemas de compatibilidad en idiomas asiáticos. Se necesitan más pruebas, por lo que no se asegura que esté disponible en la próxima versión que se espera para mediados de 2025.

Por otra parte, se ha mejorado Nemo, el gestor de archivos, con una funcionalidad de búsqueda que ahora incluye un filtro para encontrar archivos usando expresiones regulares que coincidan con sus nombres de archivos.

Por último, están modificando como se gestionan los números para el motor de JavaScript que mueve Cinnamon. Hasta ahora, el intérprete de JavaScript usado era CJS, compartía la misma versión que el escritorio Cinnamon de Linux Mint y sólo se actualizaba cuando el escritorio lo hacía. De ahora en adelante, CJS usará la numeración que usa el motor Mozilla JavaScript. Con esto tendremos actualizaciones más frecuentes y eficientes, se añadirán mejoras sin tener que esperar a nuevas versiones de Cinnamon y el escritorio podrá usar diferentes versiones del motor JavaScript.

Todas estas novedades verán la luz en los próximos meses.

from Linux Adictos https://ift.tt/BdTSquW
via IFTTT

El equipo de desarrollo de IPFire ha lanzado la actualización Core 193 de su versión 2.29, un paso importante que refuerza la seguridad de esta conocida distribución de firewall basada en Linux. Como parte de su enfoque constante en adaptarse a las amenazas emergentes, esta nueva versión incorpora soporte para criptografía poscuántica en las conexiones VPN IPsec, además de una serie de mejoras técnicas destinadas a mantener el rendimiento y la fiabilidad del sistema.

Esta actualización sigue a la Core Update 192 y supone un avance clave en la protección frente a ciberataques futuros, especialmente aquellos que podrían aprovechar las capacidades de la computación cuántica. Por ello, la integración de algoritmos resistentes a este tipo de tecnología se ha convertido en una prioridad para los desarrolladores de IPFire, que apuestan por mantenerse a la vanguardia en materia de ciberseguridad.

Criptografía poscuántica: una nueva capa de protección para túneles IPsec

La principal novedad de IPFire 2.29 Core Update 193 es la inclusión nativa de criptografía poscuántica en sus túneles IPsec. En concreto, se ha implementado el mecanismo de encapsulación de claves basado en redes de módulos, conocido como ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism). Este algoritmo ha sido desarrollado pensando en escenarios donde los atacantes puedan disponer en el futuro de computadores cuánticos capaces de romper criptografía convencional.

Esta nueva función se activa automáticamente en todos los túneles recién configurados, que también pueden usar algoritmos modernos aprobados por el Instituto Nacional de Estándares y Tecnología (NIST), como Curve448, Curve25519, RSA-4096 y RSA-3072. Asimismo, los usuarios con túneles existentes pueden actualizar su configuración para adoptar esta tecnología desde la página de ajustes avanzados.

Revisión profunda de algoritmos criptográficos y eliminación de AES-128 en IPFire 2.29 Core 193

Con la seguridad como prioridad, se ha revisado la lista de algoritmos de cifrado por defecto. Ahora, IPFire establece como estándar el uso de AES-256 en modos GCM y CBC, junto con ChaCha20-Poly1305. En ese contexto, AES-128 se ha eliminado completamente de la configuración predeterminada, ya que se considera más vulnerable comparado con su homólogo de 256 bits.

Los desarrolladores argumentan que la mayoría del hardware moderno incluye aceleración para operaciones con AES, por lo que AES-256 puede alcanzar rendimientos similares al AES-128 pero con mayor nivel de protección. Este cambio representa una evolución en la política del proyecto hacia un modelo de seguridad basado en la prevención y la proactividad.

Actualizaciones al sistema base: librerías, herramientas y rendimiento

El núcleo del sistema también ha recibido importantes mejoras a nivel de herramientas de compilación y rendimiento. Entre las novedades destaca la inclusión de GNU C Library (glibc) en su versión 2.41 y GNU Binutils 2.44, lo que permite generar código más eficiente y optimizado para hardware reciente. Esto no solo mejora el rendimiento general, sino que refuerza la seguridad operativa del sistema.

Además, se han incorporado actualizaciones de firmware y microcódigo para mitigar vulnerabilidades conocidas como INTEL-SA-01213 y otros problemas que afectan a la integridad de los sistemas modernos. Se trata de medidas que, aunque no visibles para el usuario final, impactan directamente en la fiabilidad del entorno de red protegido por IPFire.

Otros cambios importantes: DNS-over-TLS, mejoras visuales y corrección de errores

La lista de servicios por defecto se ha ampliado incluyendo soporte nativo para DNS-over-TLS, lo cual refuerza la privacidad de las consultas DNS frente a escuchas o manipulaciones externas. También se ha corregido un fallo que impedía la renovación del certificado IPsec del host debido a un número de serie erróneo, un bug que podía representar una complicación significativa en ambientes empresariales.

En cuanto a la interfaz de usuario, se han introducido mejoras visuales en la sección de grupos de cortafuegos, en parte gracias a aportes de colaboradores de la comunidad como Stephen Cuka. Este tipo de cambios, aunque menores, ayudan a mejorar la experiencia de uso diaria y facilitan la gestión de reglas para los administradores de red.

Finalmente, se ha retirado la lista de bloqueo de comandos y servidores C2 incluidos antes por Abuse.ch, ya que esta ha sido discontinuada. Esta decisión reduce la dependencia de fuentes externas de datos no mantenidas, fortaleciendo la coherencia del ecosistema IPFire.

Actualización de aplicaciones y paquetes adicionales en IPFire 2.29 Core 193

Con el objetivo de mantener la compatibilidad con las tecnologías más recientes, varios paquetes clave han sido actualizados. Entre ellos se encuentran Apache 2.4.63, StrongSwan 6.0.0 y Squid 6.13, componentes esenciales para escenarios de red complejos basados en servidores proxy o VPN. Complementariamente, se ha trabajado en mejorar múltiples complementos (add-ons), destacando nuevas versiones de HAProxy 3.1.2, Git 2.48.1 y Samba 4.21.4.

Estas actualizaciones no solo ofrecen nuevas funcionalidades, sino que también corrigen fallos previos y garantizan que los entornos de producción puedan seguir funcionando sin conflictos derivados de versiones antiguas.

El equipo de IPFire ha aprovechado la ocasión para agradecer a su comunidad global por su colaboración continua, ya sea mediante la aportación de código, informes de errores o soporte entre pares. Como es habitual en proyectos de código abierto, la participación activa de los usuarios ha sido crucial para llevar a cabo una versión tan completa como esta.

IPFire 2.29 Core Update 193 ya está disponible para su descarga desde la web oficial del proyecto. Los archivos están disponibles tanto en formato ISO como en imágenes USB, y se recomienda su instalación cuanto antes para aprovechar las mejoras introducidas y mantener el entorno seguro acorde a las últimas amenazas.

Este nuevo lanzamiento refuerza el compromiso de IPFire con la evolución constante frente a la sofisticación creciente del panorama de ciberseguridad. Con su apuesta por la criptografía poscuántica, mejoras técnicas internas, y atención a los detalles, la comunidad de usuarios tiene a su disposición una herramienta más sólida, preparada para los desafíos actuales y los que están por venir.

from Linux Adictos https://ift.tt/2EDw9Zy
via IFTTT

La versión 10.0 de OpenSSH ya está disponible con una serie de mejoras importantes relacionadas con la seguridad, la criptografía post-cuántica y la eficiencia del sistema. Este lanzamiento supone un paso relevante para fortalecer la infraestructura de comunicaciones seguras frente a amenazas tanto actuales como futuras. Además, este avance resalta la importancia de mantenerse al día con las herramientas de cifrado y seguridad en un mundo tecnológico en constante evolución.

OpenSSH, una de las implementaciones de SSH más utilizadas a nivel mundial, sigue evolucionando para adaptarse a nuevos retos en ciberseguridad. En esta ocasión, la versión 10.0 no solo corrige errores, sino que también introduce cambios estructurales y criptográficos que pueden afectar a administradores de sistemas y desarrolladores por igual.

OpenSSH 10.0 refuerza la seguridad criptográfica

Una de las decisiones más notables ha sido eliminar completamente la compatibilidad con el algoritmo de firma DSA (Digital Signature Algorithm), obsoleto desde hace años y considerado vulnerable frente a ataques modernos. OpenSSH ya lo tenía en desuso, pero seguía soportándolo, lo cual representaba un riesgo innecesario.

En cuanto al intercambio de claves, se ha apostado por un algoritmo híbrido post-cuántico por defecto: mlkem768x25519-sha256. Esta combinación integra el esquema ML-KEM (estandarizado por NIST) con la curva elíptica X25519, ofreciendo resistencia ante ataques de ordenadores cuánticos sin renunciar a la eficiencia en sistemas actuales. Este cambio coloca a OpenSSH como pionero en cuanto a adoptar métodos criptográficos preparados para una era post-cuántica.

OpenSSh 10.0 rediseña la arquitectura de autenticación

Uno de los avances más técnicos pero relevantes es la separación del código responsable de la autenticación en tiempo de ejecución en un nuevo binario llamado «sshd-auth». Esta modificación reduce de forma efectiva la superficie de ataque antes de que se complete la autenticación, ya que el nuevo binario se ejecuta de manera independiente desde el proceso principal.

Con este cambio, se optimiza además el uso de memoria, ya que se descarga el código de autenticación una vez que ha sido utilizado, mejorando la eficiencia sin comprometer la seguridad.

Compatibilidad con FIDO2 y mejoras en configuraciones

OpenSSH 10.0 también amplía el soporte para tokens de autenticación FIDO2, introduciendo nuevas capacidades para verificar blobs de atestación FIDO. Aunque esta utilidad aún permanece en fase experimental y no se instala por defecto, supone un paso hacia una autenticación más robusta y estandarizada en entornos modernos.

Otro añadido destacable es la mayor flexibilidad en las opciones de configuración específicas del usuario. Ahora se pueden definir criterios de coincidencia más precisos, lo cual permite establecer reglas más detalladas sobre cuándo y cómo se aplican ciertas configuraciones SSH o SFTP. En este contexto, la evolución de plataformas como OpenSSH 9.0 marca un precedente importante en la configuración de estas herramientas.

Optimización de algoritmos de cifrado

En cuanto al cifrado de datos, se prioriza el uso de AES-GCM sobre AES-CTR, una decisión que mejora tanto la seguridad como el rendimiento en conexiones cifradas. A pesar de ello, ChaCha20/Poly1305 sigue siendo el algoritmo de cifrado preferido, debido a su rendimiento superior en dispositivos que no disponen de aceleración por hardware para AES.

Otros cambios técnicos y de protocolo

Más allá de la seguridad, se han introducido cambios en la gestión de sesiones, así como mejoras en la detección del tipo de sesión activa. Estas modificaciones apuntan a hacer que el sistema sea más adaptable ante distintas condiciones de conexión y uso.

Además, se han realizado ajustes en la portabilidad y mantenimiento del código, como una mejor organización para el tratamiento modular de los archivos de parámetros criptográficos (moduli), lo que facilita futuras actualizaciones y auditorías.

Correcciones de fallos y usabilidad

Tal como ocurre con cualquier versión mayor, OpenSSH 10.0 incorpora diversas correcciones de errores reportados por usuarios o detectados en auditorías internas. Uno de los errores solucionados es el relacionado con la opción «DisableForwarding», que no desactivaba correctamente el reenvío de X11 y del agente, tal como se indicaba en la documentación oficial.

También se han introducido mejoras en la interfaz de usuario para una experiencia más coherente, incluso en la detección de sesión o al aplicar configuraciones específicas. Estos detalles, aunque técnicos, repercuten directamente en la estabilidad y fiabilidad del software en entornos de producción.

Otro detalle señalable es la aparición de una herramienta de línea de comandos, aunque aún en fase experimental, destinada a verificar blobs de atestación FIDO. Esta se encuentra disponible en los repositorios internos del proyecto, pero no se instala de forma automática.

OpenSSH continúa su evolución como un pilar clave en la seguridad de las comunicaciones remotas. Esta última actualización no solo responde a necesidades actuales, sino que también anticipa retos futuros como la irrupción de la computación cuántica. Al retirar tecnologías obsoletas y adoptar estándares emergentes, el proyecto sigue consolidando su papel central en la protección de infraestructuras digitales críticas.

from Linux Adictos https://ift.tt/rZshRUQ
via IFTTT

La versión 2.0.8 de fwupd ya está disponible y llega como una actualización de mantenimiento que continúa el desarrollo de esta herramienta de código abierto enfocada en facilitar las actualizaciones de firmware en sistemas Linux. Esta nueva versión incorpora varias mejoras funcionales, correcciones de errores y compatibilidad ampliada con dispositivos, consolidando su papel como una herramienta esencial para los administradores de sistemas y usuarios avanzados.

Fwupd se utiliza principalmente para aplicar actualizaciones de firmware en hardware a través de Linux, y esta actualización llega tan solo dos semanas después del lanzamiento de la versión 2.0.7, mostrando un ritmo de desarrollo constante. Con la 2.0.8, se introduce soporte para nuevas características dentro de entornos UEFI, mejoras en la detección de protocolos y ajustes clave para una mayor robustez en situaciones específicas.

Nuevos complementos para la base de datos UEFI en Fwupd 2.0.8

Uno de los cambios más relevantes en fwupd 2.0.8 es la incorporación de dos nuevos complementos diseñados para actualizar la UEFI Signature Database y KEK, componentes esenciales en el arranque seguro de los sistemas utilizando firmware UEFI. Estos complementos permiten una gestión más directa y flexible de estas bases de datos de seguridad, ofreciendo a los usuarios mayor control sobre las actualizaciones relacionadas con el arranque seguro.

Fwupd 2.0.8 innova en el manejo de atributos y rutas

Además, se ha añadido un nuevo atributo HSI para representar una base de datos UEFI actualizada, lo que mejora la forma en la que fwupd interactúa con los sistemas EFI. El directorio /sys/firmware/efi/efivars se ha incluido ahora dentro de los ReadWritePaths, indicando una integración más profunda y controlada del sistema EFI por parte de fwupd. También destaca la incorporación de soporte para el valor de segmento 0 en el analizador de imágenes ccgx-dmc, lo que permite manejar nuevos casos de uso en actualizaciones específicas relacionadas con estos controladores.

Mejoras en la detección del protocolo y compatibilidad con hardware

Fwupd 2.0.8 soluciona varios errores críticos, entre ellos uno que generaba advertencias al enumerar el dispositivo DTH135K0C, lo que podía llevar a confusión o afectar procesos automatizados. Además, esta versión ahora puede detectar características del protocolo Firehose incluso cuando no se envían automáticamente, aumentando la fiabilidad de la herramienta en diversos entornos de hardware.

También se ha mejorado la forma en que se establecen los metadatos EFI LOADOPT, permitiendo que se interpreten correctamente ya sea como ruta o como ShimHive. Esta flexibilidad es clave para garantizar la compatibilidad con distintas configuraciones de arranque.

Compatibilidad reforzada y ajustes de seguridad

A partir de esta versión, fwupd evita cualquier operación DPAUX IO si el identificador DPCD de BnR no coincide, un cambio importante para prevenir errores de compatibilidad. Por otro lado, el sistema ahora es más meticuloso al recurrir a versiones antiguas de emulación en caso de que la versión actual no funcione como se espera.

Se ha ajustado también el comportamiento con métodos Redfish de SMC, que ya no se aplican cuando se detecta hardware que no es de Supermicro, evitando así falsas detecciones o intentos de actualización no apropiados.

Mejor experiencia de uso y control por consola

El modo --json ahora omite cualquier mensaje o aviso, facilitando su uso en scripts y flujos de automatización donde se espera una salida limpia. Además, se ha restringido que las actualizaciones de cápsulas UEFI solo se apliquen en arquitecturas que realmente las soportan, minimizando riesgos de ejecución en plataformas no compatibles.

Por último, el uso del comando fwupdtool install en modo sin conexión ahora establece correctamente el formato de versión, algo crucial para entornos donde las actualizaciones se realizan manualmente y fuera de línea.

Recomendaciones sobre instalación

La versión 2.0.8 puede descargarse directamente desde la página oficial del proyecto en GitHub, aunque lo más aconsejable para la mayoría de los usuarios es instalarla desde los repositorios estables de su distribución GNU/Linux de preferencia. De esta forma, se aseguran de mantener la compatibilidad con el resto del sistema y obtener soporte en caso de necesitarlo.

Para más detalles técnicos y conocer todos los cambios incluidos, se recomienda consultar las notas de la versión disponibles en el portal del proyecto.

Las nuevas funciones enfocadas en entornos UEFI, correcciones relevantes en el manejo de dispositivos y mejoras destinadas a integradores y desarrolladores hacen de fwupd 2.0.8 un avance importante dentro del ciclo de versiones 2.0. Está pensado para ofrecer un entorno más seguro, controlado y versátil al aplicar actualizaciones de firmware, especialmente en infraestructuras de servidores y equipos modernos que dependen del arranque seguro.

from Linux Adictos https://ift.tt/0PGB4ki
via IFTTT

El proyecto OpenSSL ha lanzado la versión 3.5.0, una actualización destacada de su popular biblioteca criptográfica de código abierto, ampliamente utilizada para garantizar la seguridad en la transmisión de datos en aplicaciones y sitios web. Esta versión no solamente representa un paso adelante en ciberseguridad, sino también un movimiento estratégico para hacer frente a los desafíos que plantea la computación cuántica.

Publicada el 8 de abril de 2025, OpenSSL 3.5.0 trae consigo innovaciones clave como soporte para criptografía poscuántica, implementación del protocolo QUIC del lado servidor y ajustes importantes en configuraciones TLS, lo que convierte a esta versión en una de las más significativas en años recientes.

OpenSSL 3.5 presenta avances en criptografía poscuántica (PQC)

OpenSSL 3.5.0 estrena compatibilidad con algoritmos criptográficos diseñados para resistir ataques de futuros ordenadores cuánticos, alineándose con los estándares propuestos por el NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.). Se han incorporado tres algoritmos fundamentales:

• ML-KEM (antes conocido como CRYSTALS-Kyber) para el intercambio de claves.
• ML-DSA (antes CRYSTALS-Dilithium), un algoritmo robusto de firma digital.
• SLH-DSA, basado en SPHINCS+, que ofrece una alternativa segura y sin estado a otras firmas digitales.

Estos métodos fueron aprobados como estándares FIPS (203, 204 y 205) en 2024 tras un extenso proceso de evaluación iniciado en 2016, en el que participaron varios expertos internacionales, incluidos investigadores alemanes. Para conocer más sobre los estándares de ciberseguridad, puedes consultar el impacto de Wolfsbane en la ciberseguridad moderna.

Soporte completo para QUIC del lado del servidor

Otra de las novedades destacadas es la integración de soporte para QUIC (Quick UDP Internet Connections) como servidor, de acuerdo al RFC 9000. Este protocolo de nueva generación, que promete conexiones más rápidas y seguras que TCP, ahora está completamente disponible en OpenSSL. Además:

• Se admite la compatibilidad con pilas externas de QUIC, ampliando las posibilidades de implementación.
• Se incorpora soporte para conexiones 0-RTT, lo que permite establecer comunicaciones sin necesidad de varios intercambios iniciales, agilizando notablemente el proceso.

Cambios en parámetros predeterminados y de seguridad

La versión 3.5.0 también redefine elementos que afectan al comportamiento por defecto de la biblioteca, lo que podría requerir ajustes por parte de los desarrolladores:

• El cifrado por defecto para las aplicaciones req, cms y smime ahora es aes-256-cbc, reemplazando al ya obsoleto des-ede3-cbc.
• Se ajusta la lista de grupos soportados en TLS para priorizar KEM híbridos poscuánticos, eliminando aquellos grupos con escasa o nula utilización.
• Los grupos de keyshares en TLS se han modificado; ahora se ofrecen X25519MLKEM768 junto con X25519 por defecto, fortaleciendo el intercambio de claves.
• Se deprecaron todas las funciones BIO_meth_get_*(), en un paso hacia la modernización de la API BIO.

Opciones de configuración y nuevas capacidades en OpenSSL 3.5

OpenSSL 3.5 incluye nuevas opciones que permiten un mayor control sobre el comportamiento de la biblioteca, especialmente en entornos regulados o donde la seguridad es crítica:

• no-tls-deprecated-ec: desactiva el soporte para curvas elípticas obsoletas definidas en el RFC 8422.
• enable-fips-jitter: permite al proveedor FIPS utilizar una fuente de entropía JITTER, mejorando la aleatoriedad en la generación de claves.
• Introducción de EVP_SKEY: permite manejar claves simétricas opacas, lo que incrementa la seguridad al abstraer el acceso directo a las claves.
• Soporte para generación de claves centralizadas en CMP, facilitando la gestión de certificados.
• Implementación de compatibilidad API para canalización en algoritmos de cifrado, optimizando operaciones criptográficas.

Errores conocidos y próximos pasos

Actualmente se ha identificado un error relacionado con la función SSL_accept cuando se utiliza sobre objetos retornados de SSL_accept_connection. En lugar de avanzar el handshake, como se espera, no tiene efecto. Los desarrolladores recomiendan utilizar SSL_do_handshake como solución temporal mientras se trabaja en una corrección que se espera para la versión 3.5.1.

Se ha confirmado que OpenSSL 3.5 es una versión LTS (Long-Term Support), con soporte garantizado hasta abril de 2030. La siguiente versión (3.6) ya está prevista para octubre de 2025.

Esta evolución de OpenSSL pone de relieve el esfuerzo continuado de la comunidad por garantizar una infraestructura segura de cara al futuro. Incorporar algoritmos resistentes a la computación cuántica, mejorar protocolos modernos como QUIC y modernizar configuraciones predeterminadas son señales claras de un compromiso con la adaptabilidad y la seguridad en un mundo digital cada vez más cambiante.

from Linux Adictos https://ift.tt/PY9FbBu
via IFTTT

En su día me resistí, pero al final caí y me hice con una Steam Deck. Si me lo pensé tanto fue porque en un principio pensaba que sólo jugaría con ella — o con él, pues es un ordenador –, pero para nada. Con el tiempo se ha convertido en mi centro multimedia, y esta última semana me ha permitido seguir trabajando cuando mi portátil principal ha sufrido un percance: el cargador ha dicho basta.

El problema fue uno de esos que mosquean: el cable de carga de mi ACER es fino, y en parte por no tener cuidado de más y en parte por esa finura, se fue pelando por un punto. El fin de semana pasado empezó a hacer ruido de chasquidos, un mal contacto que impedía la carga. En un principio no era imposible cargarlo, pero sí sin dejar el portátil totalmente parado. El más mínimo movimiento hacía que sonaran las chispas, y no merece la pena usar algo así. Además, poco después dejó de cargar por completo.

Opciones que tenía

Las opciones que tuve desde que pedí un cable de carga hasta que me llegó eran estas:

• No hacer nada, con lo que mi mensualidad se vería afectada.
• Usar la Rasbperry Pi 4. Era una posibilidad, pero es demasiado lenta para mi gusto.
• Usar el viejo portátil. Otra posibilidad, casi mejor que la Raspbery Pi, pero su pantalla tampoco hace buen contacto — ya sé que estaréis pensando que soy un manazas, y a veces sí lo soy. Y para usarla en mi tele, mejor otra cosa.

Steam Deck al rescate

Al final opté por usar la Steam Deck en un dock. Sólo tuve que mover una pequeña mesa para tener la pantalla más de frente. El resto fue coser y cantar. Además, gano potencia, que parece que no sea muy necesaria pero nunca está de mas.

No lo necesito en mi día a día, por lo que no tenía Vivaldi en la Steam Deck. Lo instalé para poder usar bien la pantalla dividida y le añadí algunos paneles, como el de Inoreader y X. La potencia de la Steam Deck me hizo no echar nada en falta, o casi: la mayor parte del tiempo que escribo para blogs lo hago desde un sofá. Para trabajar en la Steam Deck tengo que hacerlo en un escritorio improvisado.

Y es que la Steam Deck es en realidad «un ordenador que sirve para jugar en cualquier parte», pero también para todo lo demás. Gracias a ella he podido seguir trabajando y cada día me gusta más el bichejo.

from Linux Adictos https://ift.tt/NJpHAus
via IFTTT