Οι προγραμματιστές του Έργου Fedora έχουν περιγράψει ένα σχέδιο για την απενεργοποίηση της υποστήριξης για ψηφιακές υπογραφές SHA-1 στο Fedora Linux 39. Η απενεργοποίηση περιλαμβάνει την αφαίρεση της εμπιστοσύνης σε υπογραφές που χρησιμοποιούν κατακερματισμούς SHA-1 (το SHA-224 θα δηλωθεί ως το ελάχιστο που υποστηρίζεται στις ψηφιακές υπογραφές). αλλά διατηρώντας την υποστήριξη για HMAC με SHA-1 και παρέχοντας τη δυνατότητα ενεργοποίησης του προφίλ LEGACY με το SHA-1. Μετά την εφαρμογή των αλλαγών, η βιβλιοθήκη OpenSSL θα αποκλείσει από προεπιλογή τη δημιουργία και την επαλήθευση υπογραφών με το SHA-1.
Η απενεργοποίηση σχεδιάζεται να πραγματοποιηθεί σε διάφορα στάδια: Στο Fedora Linux 36, οι υπογραφές που βασίζονται στο SHA-1 θα αφαιρεθούν από την πολιτική "FUTURE", παρέχεται μια πολιτική δοκιμής TEST-FEDORA39 για την απενεργοποίηση του SHA-1 κατόπιν αιτήματος του χρήστη (update-crypto-policies --set TEST-FEDORA39 ), κατά τη δημιουργία και την επαλήθευση υπογραφών με βάση το SHA-1, οι προειδοποιήσεις θα εμφανίζονται στο αρχείο καταγραφής. Κατά την έκδοση προ-beta του Fedora Linux 38, το αποθετήριο rawhide θα έχει μια πολιτική έναντι των υπογραφών SHA-1, αλλά αυτή η αλλαγή δεν θα ισχύει για την έκδοση beta και την έκδοση του Fedora Linux 38. Με την κυκλοφορία του Fedora Linux 39, η πολιτική κατάργησης της υπογραφής SHA-1 θα εφαρμόζεται από προεπιλογή.
Το προτεινόμενο σχέδιο δεν έχει ακόμη αναθεωρηθεί από την FESCo (Fedora Engineering Steering Committee), η οποία είναι υπεύθυνη για το τεχνικό μέρος της ανάπτυξης της διανομής Fedora. Το τέλος της υποστήριξης για υπογραφές που βασίζονται στο SHA-1 οφείλεται στην αύξηση της αποτελεσματικότητας των επιθέσεων σύγκρουσης με ένα δεδομένο πρόθεμα (το κόστος επιλογής μιας σύγκρουσης εκτιμάται σε αρκετές δεκάδες χιλιάδες δολάρια). Στα προγράμματα περιήγησης, τα πιστοποιητικά που ελέγχονται με χρήση του αλγόριθμου SHA-1 έχουν επισημανθεί ως μη ασφαλή από τα μέσα του 2016.
Πηγή: opennet.ru