Fedora projekat je izložio plan za onemogućavanje podrške za digitalne potpise zasnovane na SHA-1 algoritmu u Fedora Linux 39. Onemogućavanje uključuje ukidanje poverenja u potpise koji koriste SHA-1 heševe (SHA-224 će biti deklarisan kao minimalno podržan u digitalnom potpisi), ali održava podršku za HMAC sa SHA-1 i pruža mogućnost omogućavanja LEGACY profila sa SHA-1. Nakon primjene promjena, OpenSSL biblioteka će po defaultu početi blokirati generiranje i verifikaciju potpisa sa SHA-1.
Planirano je da se onemogućavanje sprovede u nekoliko faza: U Fedora Linuxu 36, potpisi zasnovani na SHA-1 će biti isključeni iz politike „BUDUĆNOST“, obezbeđena je testna politika TEST-FEDORA39 za onemogućavanje SHA-1 na zahtev korisnik (update-crypto-policies —set TEST-FEDORA39 ), prilikom kreiranja i verifikacije potpisa zasnovanih na SHA-1, upozorenja će biti prikazana u dnevniku. Tokom pre-beta izdanja Fedora Linuxa 38, spremište rawhide će imati politiku koja zabranjuje korištenje potpisa zasnovanih na SHA-1, ali ova promjena neće biti primijenjena u beta verziji i izdanju Fedora Linuxa 38. Sa izdanjem Fedora Linuxa 39, politika zastarjelosti za potpise zasnovane na SHA-1 će se primjenjivati prema zadanim postavkama.
Predloženi plan još nije pregledan od strane FESCo-a (Fedora Engineering Steering Committee), koji je odgovoran za tehnički dio razvoja Fedora distribucije. Prestanak podrške za potpise zasnovane na SHA-1 je zbog povećane efikasnosti napada kolizije sa datim prefiksom (cijena odabira kolizije procjenjuje se na nekoliko desetina hiljada dolara). Pregledači su označili certifikate potpisane pomoću SHA-1 algoritma kao nesigurne od sredine 2016. godine.
izvor: opennet.ru