Die Fedora-projek het 'n plan uiteengesit om ondersteuning vir digitale handtekeninge te deaktiveer gebaseer op die SHA-1-algoritme in Fedora Linux 39. Deaktivering behels die beëindiging van vertroue in handtekeninge wat SHA-1-hashes gebruik (SHA-224 sal verklaar word as die minimum wat in digitaal ondersteun word) handtekeninge), maar behou ondersteuning vir HMAC met SHA-1 en bied die vermoë om die LEGACY-profiel met SHA-1 te aktiveer. Nadat die veranderinge toegepas is, sal die OpenSSL-biblioteek by verstek begin om die generering en verifikasie van handtekeninge met SHA-1 te blokkeer.
Die deaktivering word beplan om in verskeie stadiums uitgevoer te word: In Fedora Linux 36 sal SHA-1-gebaseerde handtekeninge uitgesluit word van die "FUTURE"-beleid, 'n toetsbeleid TEST-FEDORA39 word verskaf om SHA-1 te deaktiveer op versoek van die gebruiker (update-crypto-polisies —set TEST-FEDORA39 ), wanneer handtekeninge gebaseer op SHA-1 geskep en geverifieer word, sal waarskuwings in die log vertoon word. Tydens die pre-beta-vrystelling van Fedora Linux 38, sal die rawhide-bewaarplek 'n beleid hê wat die gebruik van SHA-1-gebaseerde handtekeninge verbied, maar hierdie verandering sal nie in die beta en vrystelling van Fedora Linux 38 toegepas word nie. Met die vrystelling van Fedora Linux 39, sal die afskaffingsbeleid vir SHA-1-gebaseerde handtekeninge by verstek toegepas word.
Die voorgestelde plan is nog nie deur die FESCo (Fedora Engineering Steering Committee) hersien nie, wat verantwoordelik is vir die tegniese deel van die ontwikkeling van die Fedora-verspreiding. Die einde van ondersteuning vir SHA-1-gebaseerde handtekeninge is te wyte aan die verhoogde doeltreffendheid van botsingsaanvalle met 'n gegewe voorvoegsel (die koste om 'n botsing te kies word op 'n paar tienduisende dollars geraam). Blaaiers het sedert middel 1 sertifikate gemerk wat met die SHA-2016-algoritme onderteken is as onseker.
Bron: opennet.ru