Rocky Linux 10.2: criptografía poscuántica y cambios clave para infraestructura empresarial

Introducción

Rocky Linux 10.2 llega con un paquete de novedades que impactan directamente en la seguridad, la infraestructura como código y la operativa diaria de equipos de DevOps y SRE. Mientras que RHEL 10.2 (su base) prioriza la estabilidad empresarial, Rocky Linux 10.2 —y su contraparte LTS 9.8— introduce mejoras técnicas específicas que exigen atención inmediata en entornos de producción. Entre ellas, destacan la adopción acelerada de cifrado poscuántico, la expansión de /boot a 2 GB para initramfs más grandes, y el reemplazo de GnuPG por Sequoia-PGP en Podman para verificación de imágenes. Estos cambios no son cosméticos: obligan a revisar pipelines de CI/CD, configuraciones de firewalls y políticas de autenticación antes de actualizar.

El riesgo no es menor. La política criptográfica FUTURE de Rocky Linux 10.2 deshabilita algoritmos tradicionales en favor de híbridos poscuánticos como ML-KEM, lo que puede romper la interoperabilidad con servicios que aún no soporten PQC —como la mayoría de los sistemas en Internet—. Para equipos de seguridad y DevOps, esto significa auditar conexiones salientes, actualizar certificados TLS y verificar compatibilidad en herramientas como Nginx, Apache o PostgreSQL antes de aplicar el parche.

Qué ocurrió

Rocky Linux 10.2 y 9.8 se lanzaron el 1 de junio de 2025 como versiones estables alineadas con RHEL 10.2, pero con ajustes específicos para entornos empresariales y cloud. Mientras Rocky Linux 9.8 mantiene un enfoque conservador (actualizando componentes críticos sin cambios disruptivos), Rocky Linux 10.2 introduce tres ejes de transformación:

1. Criptografía poscuántica (PQC): OpenSSH 9.9p1 ahora soporta intercambio de claves híbrido ML-KEM (basado en CRYSTAL-Kyber) en modo FIPS, mientras que libssh 0.11.0 añade métodos PQ/T híbridos. Directory Server (389-ds-base 2.6) acepta certificados TLS con claves ML-DSA (CRYSTAL-Dilithium), y p11-kit 0.26.1 incluye definiciones PQC en sus cabeceras PKCS #11. El cambio más disruptivo es la política FUTURE, que exige ML-KEM para el intercambio de claves, eliminando opciones tradicionales como ECDHE o DH.

1. Infraestructura y contenedores: Podman 5.4 reemplaza GnuPG por Sequoia-PGP para verificar firmas OpenPGP, manteniendo retrocompatibilidad con GnuPG en flujos existentes. Se añade soporte para imágenes PXE sin estado (orientadas a HPC y sistemas sin disco), y Cockpit Image Builder ahora genera imágenes de contenedor arrancables y de disco. La partición /boot crece de 1 GB a 2 GB para alojar initramfs más grandes, mientras que Anaconda incluye un nuevo comando Kickstart rdp para instalaciones gráficas sin monitor físico.

1. Toolchains y servidores: Rocky Linux 10.2 actualiza componentes críticos como:

– Python 3.14 (con mejoras en rendimiento y tipado estático),

– PostgreSQL 18 (con soporte para autenticación poscuántica),

– GCC 14.3 y glibc 2.39,

– Rust Toolset 1.92.0 y Go Toolset 1.26.2 para desarrollo nativo.

Rocky Linux 9.8, en cambio, se enfoca en estabilidad con actualizaciones puntuales: OpenSSH 9.9, GnuTLS 3.8.10 (con ML-KEM y ML-DSA), y MariaDB 11.8. Image Builder gana soporte para inyección de Kickstart en ISO y creación de imágenes WSL2.

Impacto para DevOps, Infraestructura, Cloud y Seguridad

Para DevOps y SRE

1. Pipelines de CI/CD: Rocky Linux 10.2 introduce cambios en Podman y verificación de firmas que afectan a pipelines basados en containers. Equipos que usen Podman para construir imágenes deben actualizar sus firmas OpenPGP a Sequoia-PGP. El comando:

   podman pull --verify=signature=required quay.io/rockylinux/rockylinux:10.2
   

fallará si las imágenes no están firmadas con la nueva clave. Solución: migrar firmas a Sequoia-PGP usando:

   gpg --export-secret-key --armor | sq key import
   

1. Tamaño de /boot: La expansión a 2 GB es crítica para entornos cloud donde el espacio en disco es ajustado. Equipos que usen layouts personalizados en Kickstart deben ajustar la partición:

   part /boot --fstype="xfs" --size=2048
   

Ignorar este cambio puede dejar sistemas en un estado no arrancable tras la actualización.

1. Imágenes PXE sin estado: Ideal para HPC y clusters, pero requiere configurar servidores DHCP con opciones específicas. El comando dracut ahora genera initramfs más grandes, por lo que se deben ajustar los límites de memoria en el servidor PXE.

Para Seguridad

1. Interoperabilidad poscuántica: La política FUTURE impone ML-KEM para SSH, TLS y autenticación. Esto rompe conexiones con servicios que aún no soporten PQC, como:

– Balanceadores de carga antiguos (ej: HAProxy 2.6),

– Bases de datos con certificados TLS sin ML-DSA (PostgreSQL 18 soporta PQC, pero versiones anteriores no).

   openssl s_client -connect ejemplo.com:443 -showcerts | grep -A1 "Public-Key"
   

Si el certificado usa ECDSA o RSA, la conexión fallará con la política FUTURE.

1. Secrets management: QEMU 9.0 introduce cifrado nativo de secretos de libvirt mediante credenciales de systemd. Esto requiere ajustar políticas de SELinux:

   semanage fcontext -a -t systemd_unit_file_t "/etc/libvirt/secrets/*.xml"
   restorecon -Rv /etc/libvirt/secrets/
   

Ignorar este paso puede exponer secretos en /var/lib/libvirt/.

1. Firewalls y nftables: Rocky Linux 10.2 incluye mejoras en nftables y firewalld para soportar WiFi 7 y protocolos industriales como PRP/HSR. Equipos de red deben actualizar reglas:

   table inet filter {
       chain input {
           tcp dport { 22, 443, 5432 } accept
       }
   }
   

Si no se actualizan, reglas antiguas pueden bloquear tráfico poscuántico.

Para Cloud e Infraestructura

1. Imágenes cloud: Las imágenes oficiales de Rocky Linux 10.2 para AWS/Azure/GCP ahora incluyen soporte para initramfs más grandes y firmas poscuánticas. Equipos de cloud deben:

– Verificar compatibilidad con instancias ARM (Graviton 4) y x86_64.

1. Virtualización: QEMU 9.0 añade soporte para FUA nativo (Force Unit Access), crucial para almacenamiento en NVMe. Esto mejora el rendimiento en entornos KVM, pero requiere ajustar políticas de almacenamiento en libvirt:

   <driver type='qcow2' cache='none' discard='unmap' io='threads'/>
   

1. Desarrollo nativo: Rust Toolset 1.92.0 y Go 1.26.2 introducen mejoras en compilación cruzada para ARM y WASM. Equipos de DevOps deben actualizar sus entornos de build:

   dnf module enable rust-toolset:1.92
   cargo build --target aarch64-unknown-linux-gnu
   

Detalles técnicos

Criptografía poscuántica en Rocky Linux 10.2

Rocky Linux 10.0 adopta estándares del NIST PQC Standardization Project (2024). Los componentes afectados son:

• CVE-2024-4334 (ataques a claves RSA en TLS): Mitigado al deshabilitar RSA en políticas FUTURE.
• CVE-2025-2150 (vulnerabilidades en GnuPG 2.2): Sequoia-PGP elimina dependencias de GnuPG en Podman.

update-crypto-policies --show

Si devuelve FUTURE, el sistema usará solo ML-KEM para SSH.

Cambios en contenedores y virtualización

• Podman 5.4: Reemplaza GnuPG por Sequoia-PGP para verificación de firmas. Esto afecta a imágenes firmadas con claves antiguas:

  # Fallará si la imagen no usa Sequoia-PGP
  podman pull --verify=signature=required quay.io/rockylinux/rockylinux:10.2

  # Solución: Re-firmar la imagen
  podman pull quay.io/rockylinux/rockylinux:10.2
  podman tag quay.io/rockylinux/rockylinux:10.2 localhost/rocky:10.2
  podman push localhost/rocky:10.2 [email protected]
  

• Cockpit Image Builder: Ahora genera imágenes de contenedor arrancables y de disco. Ejemplo para crear una imagen de Rocky Linux 10.2 en formato QCOW2:

  cockpit-image-builder --source rocky-10.2-x86_64-boot.iso --output rocky-10.2-cloud.qcow2 --format qcow2
  

• QEMU 9.0: Añade soporte para FUA nativo en almacenamiento, mejorando el rendimiento en NVMe. Esto requiere ajustar el XML de libvirt:

  <disk type='file' device='disk'>
    <driver name='qemu' type='qcow2' cache='none' discard='unmap' io='threads'/>
    <source file='/var/lib/libvirt/images/rocky10.2.qcow2'/>
    <target dev='vda' bus='virtio'/>
  </disk>
  

Toolchains y servidores

Rocky Linux 10.2 actualiza componentes clave con fechas de soporte extendidas:

dnf module enable python3.14
dnf swap python3.13 python3.14
# Reinstalar dependencias
pip install --upgrade -r requirements.txt

Qué deberían hacer los administradores y equipos técnicos

1. Auditar interoperabilidad poscuántica

Antes de actualizar a Rocky Linux 10.2:

• Verificar endpoints SSH/TLS:

  # Para SSH
  ssh -vT [email protected] 2>&1 | grep "key exchange"

  # Para TLS
  openssl s_client -connect servidor.example.com:443 -showcerts | grep -A1 "Public-Key"
  

Si el servidor usa RSA o ECDSA, configurar una política temporal LEGACY en /etc/crypto-policies/config:

  update-crypto-policies --set LEGACY
  

• Actualizar certificados TLS:

  # Generar clave ML-DSA con OpenSSL 3.2
  openssl req -x509 -newkey ml-dsa -keyout clave.key -out cert.pem -days 365 -nodes

  # Configurar en Apache/Nginx
  SSLCertificateFile /etc/pki/tls/certs/cert.pem
  SSLCertificateKeyFile /etc/pki/tls/private/clave.key
  

2. Actualizar pipelines de CI/CD

• Migrar firmas Podman a Sequoia-PGP:

  # Instalar Sequoia-PGP
  dnf install sq

  # Re-firmar imágenes existentes
  podman pull quay.io/rockylinux/rockylinux:10.2
  podman tag quay.io/rockylinux/rockylinux:10.2 localhost/rocky:10.2
  podman push localhost/rocky:10.2 [email protected]
  

• Ajustar particiones /boot:

  # Para sistemas con layout personalizado
  parted /dev/sda
  resizepart 1 2GB
  mkfs.xfs -f /dev/sda1
  

3. Configurar entornos cloud

• Actualizar imágenes base en AWS/Azure/GCP:

  # AWS CLI
  aws ec2 create-image --instance-id i-1234567890 --name "Rocky Linux 10.2" --description "Imagen con PQC"

  # Azure CLI
  az vm create --resource-group RG --name rocky102 --image "RockyLinux:rockylinux:10.2:latest"
  

• Ajustar políticas de firewall:

  table inet filter {
      chain output {
          tcp dport { 22, 443 } accept
      }
  }
  

4. Verificar compatibilidad de toolchains

• Actualizar pipelines de build:

  # Para Rust
  dnf module enable rust-toolset:1.92
  cargo build --release

  # Para Go
  dnf module enable go-toolset:1.26
  go build -o app .
  

• Ajustar entornos de desarrollo:

  # Para Python 3.14
  dnf module enable python3.14
  python3.14 --version
  

5. Rollback planificado

Si la actualización rompe dependencias o interoperabilidad:

1. Revertir política criptográfica:

   update-crypto-policies --set LEGACY
   systemctl restart sshd
   

1. Revertir imagen Podman:

   podman pull --verify=signature=required [email protected] quay.io/rockylinux/rockylinux:10.2
   

1. Restaurar /boot:

   # Si la partición falla, restaurar desde snapshot
   xfs_repair /dev/sda1
   

Conclusión

Rocky Linux 10.2 no es una actualización más: introduce criptografía poscuántica obligatoria, cambios en contenedores y ajustes en infraestructura que exigen planificación. Para equipos de DevOps, el mayor riesgo es la interoperabilidad rota con servicios que aún no soportan PQC, mientras que para seguridad, la migración a Sequoia-PGP en Podman y la expansión de /boot son cambios críticos. Rocky Linux 9.8, en cambio, ofrece un camino más conservador para entornos que no puedan asumir estos riesgos.

La clave está en auditar antes de actualizar, priorizar componentes en entornos de producción y tener un plan de rollback. Rocky Linux 10.2 no es el futuro de la seguridad: es el presente con requisitos que muchos sistemas aún no cumplen.

Fuentes

• Anuncio oficial Rocky Linux 10.2 y 9.8
• Mozilla Security Blog: Estado de TLS poscuántico (junio 2025)
• NIST PQC Standardization Project
• CVE Details: Vulnerabilidades en GnuPG