Fedora Linux 39 планира да деактивира поддръжката за SHA-1 подписи по подразбиране

Проектът Fedora очерта план за деактивиране на поддръжката за цифрови подписи, базирани на алгоритъма SHA-1 във Fedora Linux 39. Деактивирането включва прекратяване на доверието в подписи, които използват хешове на SHA-1 (SHA-224 ще бъде деклариран като минимално поддържан в цифровите подписи), но поддържане на поддръжка за HMAC с SHA-1 и предоставяне на възможност за активиране на LEGACY профила с SHA-1. След прилагане на промените библиотеката OpenSSL по подразбиране ще започне да блокира генерирането и проверката на подписи с SHA-1.

Деактивирането е планирано да се извърши на няколко етапа: във Fedora Linux 36 подписите, базирани на SHA-1, ще бъдат изключени от политиката „FUTURE“, предоставена е тестова политика TEST-FEDORA39 за деактивиране на SHA-1 по искане на потребителят (update-crypto-policies —set TEST-FEDORA39), когато създавате и проверявате подписи въз основа на SHA-1, предупрежденията ще се показват в дневника. По време на пред-бета версията на Fedora Linux 38, хранилището за необработена кожа ще има политика, забраняваща използването на базирани на SHA-1 подписи, но тази промяна няма да бъде приложена в бета версията и версията на Fedora Linux 38. С пускането на Fedora Linux 39 политиката за отмяна на подписите, базирани на SHA-1, ще бъде наложена по подразбиране.

Предложеният план все още не е прегледан от FESCo (Fedora Engineering Steering Committee), който отговаря за техническата част от разработката на дистрибуцията на Fedora. Краят на поддръжката за подписи, базирани на SHA-1, се дължи на повишената ефективност на атаките за сблъсък с даден префикс (цената за избор на сблъсък се оценява на няколко десетки хиляди долара). От средата на 1 г. браузърите маркират сертификати, подписани с помощта на алгоритъма SHA-2016, като несигурни.

Източник: opennet.ru