In Fedora Linux 39 soll die Unterstützung für SHA-1-basierte Signaturen standardmäßig deaktiviert werden.

Die Entwickler des Fedora-Projekts haben einen Plan für die Einstellung der Unterstützung von digitalen Signaturen auf der Grundlage des SHA-1-Algorithmus in Fedora Linux 39 skizziert. Die Deaktivierung sieht vor, das Vertrauen in Signaturen, die SHA-1-Hashes verwenden, zu beenden (SHA-224 wird als minimal unterstützte Hash-Funktion für digitale Signaturen festgelegt), jedoch bleibt die Unterstützung für HMAC mit SHA-1 bestehen und es wird die Möglichkeit geboten, das LEGACY-Profil mit SHA-1 zu aktivieren. Nach Umsetzung der Änderungen wird die OpenSSL-Bibliothek standardmäßig die Erstellung und Überprüfung von Signaturen mit SHA-1 blockieren.

Die Abschaltung erfolgt in mehreren Phasen: In Fedora Linux 36 werden Signaturen auf Basis von SHA-1 aus der "FUTURE"-Richtlinie ausgeschlossen. Eine Testrichtlinie TEST-FEDORA39 wird bereitgestellt, um SHA-1 auf Wunsch des Benutzers abzuschalten (update-crypto-policies —set TEST-FEDORA39). Bei der Erstellung und Verifizierung von Signaturen auf Basis von SHA-1 werden Warnungen im Protokoll angezeigt. Im Vorfeld der Veröffentlichung von Fedora Linux 38 wird eine Richtlinie angewendet, die die Verwendung von Signaturen auf Basis von SHA-1 im Rawhide-Repository verbietet. Diese Änderung wird jedoch nicht in der Beta- und Release-Version von Fedora Linux 38 umgesetzt. In Fedora Linux 39 wird die Richtlinie zur Einstellung der Unterstützung für SHA-1-Signaturen standardmäßig angewendet.

Der vorgeschlagene Plan wurde bisher nicht vom FESCo (Fedora Engineering Steering Committee) geprüft, das für die technische Entwicklung der Fedora-Distribution verantwortlich ist. Die Einstellung der Unterstützung für SHA-1-basierte Signaturen erfolgt aufgrund der erhöhten Effizienz von Kollisionen mit vorgegebenem Prefix (die Kosten für das Finden einer Kollision werden auf mehrere zehn Tausend Dollar geschätzt). In Browsern werden Zertifikate, die mit dem SHA-1-Algorithmus signiert sind, seit Mitte 2016 als unsicher gekennzeichnet.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster