La programistoj de Fedora Project skizis planon por malŝalti subtenon por SHA-1-bazitaj ciferecaj subskriboj en Fedora. Linux 39. La malŝalto forigos fidon je subskriboj kiuj uzas SHA-1 haŝojn (SHA-224 estos deklarita kiel la minimuma subtenata haŝo por ciferecaj subskriboj), sed retenos subtenon por HMAC kun SHA-1 kaj provizos la eblon ebligi la LEGACY-profilon kun SHA-1. Post apliko de la ŝanĝoj, la OpenSSL-biblioteko defaŭlte blokos la generadon kaj konfirmon de SHA-1 subskriboj.
La ĉesigo estas planita esti efektivigita en pluraj etapoj: En Fedora Linux 36 SHA-1-bazitaj subskriboj estos ekskluditaj de la politiko "FUTURE". Testa politiko, TEST-FEDORA39, estis provizita por malŝalti SHA-1 laŭ la uzanto-bontrovo (update-crypto-policies --set TEST-FEDORA39). Avertoj estos registritaj dum kreado kaj kontrolado de SHA-1-bazitaj subskriboj. Dum la preparado de la eldono de Fedora, Linux 38 Antaŭ la beta-versio, la deponejo rawhide havos politikon malpermesantan la uzon de SHA-1-bazitaj subskriboj, sed en la beta- kaj Fedora-eldonoj Linux 38 ĉi tiu ŝanĝo ne estos aplikita. En la Fedora eldono Linux 39-a politiko por malrekomendi SHA-1-bazitajn subskribojn estos aplikita defaŭlte.
La proponita plano ankoraŭ ne estis reviziita de la FESCo (Fedora Engineering Steering Committee), kiu respondecas pri la teknika parto de la evoluo de la Fedora-distribuo. La fino de subteno por SHA-1-bazitaj signaturoj ŝuldiĝas al la pliigita efikeco de kolizio-atakoj kun antaŭfiksita prefikso (la kosto de elekto de kolizio estas taksita je pluraj dekoj de miloj da dolaroj). Retumiloj markis atestilojn subskribitajn per la SHA-1-algoritmo kiel nesekuraj ekde mez-2016.
fonto: opennet.ru
