پروژه فدورا طرحی را برای غیرفعال کردن پشتیبانی از امضای دیجیتال بر اساس الگوریتم SHA-1 در فدورا لینوکس 39 ارائه کرده است. غیرفعال کردن شامل پایان دادن به اعتماد به امضاهایی است که از هش SHA-1 استفاده می کنند (SHA-224 به عنوان حداقل پشتیبانی شده در دیجیتال اعلام خواهد شد. امضاها)، اما پشتیبانی از HMAC با SHA-1 و ارائه توانایی فعال کردن نمایه LEGACY با SHA-1. پس از اعمال تغییرات، کتابخانه OpenSSL به طور پیش فرض شروع به مسدود کردن تولید و تأیید امضا با SHA-1 می کند.
برنامه ریزی شده است که غیرفعال کردن در چند مرحله انجام شود: در فدورا لینوکس 36، امضاهای مبتنی بر SHA-1 از خط مشی "FUTURE" مستثنی خواهند شد، یک خط مشی آزمایشی TEST-FEDORA39 برای غیرفعال کردن SHA-1 به درخواست کاربر (بهروزرسانی-سیاستهای رمزنگاری-تنظیم TEST-FEDORA39)، هنگام ایجاد و تأیید امضا بر اساس SHA-1، هشدارها در گزارش نمایش داده میشوند. در طول انتشار پیش از بتا فدورا لینوکس 38، مخزن خام دارای خط مشی ممنوعیت استفاده از امضاهای مبتنی بر SHA-1 خواهد بود، اما این تغییر در نسخه بتا و نسخه فدورا لینوکس 38 اعمال نخواهد شد. با انتشار فدورا لینوکس 39، سیاست منسوخ شدن امضاهای مبتنی بر SHA-1 به طور پیش فرض اجرا می شود.
طرح پیشنهادی هنوز توسط FESCO (کمیته راهبری مهندسی فدورا) که مسئول بخش فنی توسعه توزیع فدورا است، بررسی نشده است. پایان پشتیبانی از امضاهای مبتنی بر SHA-1 به دلیل افزایش کارایی حملات برخورد با یک پیشوند مشخص است (هزینه انتخاب یک برخورد چند ده هزار دلار برآورد شده است). مرورگرها گواهینامه هایی را که با استفاده از الگوریتم SHA-1 امضا شده اند، از اواسط سال 2016 به عنوان ناامن علامت گذاری کرده اند.
منبع: opennet.ru