Programeri Fedora projekta su predstavili plan za onemogućavanje podrške za digitalne potpise zasnovane na SHA-1 u Fedori. Linux 39. Отключение предполагает прекращение доверия к подписям, в которых используются хэши SHA-1 (в качестве минимально поддерживаемого в цифровых подписях будет заявлен SHA-224), но сохранение поддержки HMAC с SHA-1 и предоставлении возможности включить LEGACY-профиль с SHA-1. После применения изменений библиотека OpenSSL по умолчанию начнёт блокировать генерацию и проверку подписей с SHA-1.
Отключение планируется провести в несколько этапов: В Fedora Linux 36 подписи на основе SHA-1 будут исключены из политики «FUTURE», предоставлена тестовая политика TEST-FEDORA39 для отключения SHA-1 по желанию пользователя (update-crypto-policies —set TEST-FEDORA39), при создании и верификации подписей на основе SHA-1 в логе будут отображаться предупреждения. В процессе подготовки выпуска Fedora Linux 38 до формирования бета-версии в репозитории rawhide будет применена политика, запрещающая использование подписей на основе SHA-1, но в бета-выпуске и релизе Fedora Linux 38 это изменение применяться не будет. В выпуске Fedora Linux 39 политика с прекращением поддержки подписей на основе SHA-1 будет применена по умолчанию.
Predloženi plan još nije pregledan od strane FESCo-a (Fedora Engineering Steering Committee), koji je odgovoran za tehnički dio razvoja Fedora distribucije. Prestanak podrške za potpise zasnovane na SHA-1 je zbog povećane efikasnosti napada kolizije sa datim prefiksom (cijena odabira kolizije procjenjuje se na nekoliko desetina hiljada dolara). Pregledači su označili certifikate potpisane pomoću SHA-1 algoritma kao nesigurne od sredine 2016. godine.
izvor: opennet.ru
