Алгоритм хеширования паролей
Локальные и SSH пользователи
При установке системы задаётся пароль пользователя root. Инсталлятор системы хэширует его при помощи алгоритма yescrypt. Все пароли, создаваемые или изменяемые после установки системы, хэшируются уже с помощью алгоритма gost-yescrypt, сочетающего расширенную устойчивость к перебору паролей благодаря yescrypt с криптографическими свойствами всей конструкции согласно ГОСТ Р 34.11─2012.
Важно
Для того, чтобы пароль пользователя root хранился также с учётом ГОСТ Р 34.11─2012,
достаточно сменить его (даже на тот же самый, что задан при установке) через
веб-интерфейс либо при помощи команды CLI ssh user change_password.
Пароль защиты загрузчика GRUB
Для хеширования паролей загрузчика применяется алгоритм PBKDF2 с хешем SHA512.
PBKDF2 (Password-Based Key Derivation Function 2 или Функция Получения Ключа На Основе Пароля 2) – это функция получения ключа, разработанная RSA Laboratories, используемая для получения стойких ключей на основе хеша. Она работает путем применения псевдослучайной хеш-функции (вроде SHA-256, SHA-512, и т. д.) к строке, в нашем случае – к паролю, вместе с солью* и повторением этого процесса большое число раз.
Примечание
В криптографии соль — это случайные данные, которые используются в качестве дополнительных входных данных для односторонней функции хеширования данных, пароля или парольной фразы. Применение соли снижает опасность подбора пароля с помощью т.н. радужных таблиц в случае компрометации хэшей паролей.
Примечание
От пользователей, хеш пароля которых был создан с помощью предыдущего алгоритма PBKDF2 (хеш SHA256), не требуется смена пароля или иных действий. После успешной аутентификации такого пользователя, хеш пароля будет заменен на gost-yescrypt автоматически.