توسعهدهندگان پروژه فدورا طرحی را برای غیرفعال کردن پشتیبانی از امضاهای دیجیتال مبتنی بر SHA-1 در فدورا تشریح کردهاند. Linux ۳۹. غیرفعالسازی، اعتماد به امضاهایی را که از هشهای SHA-1 استفاده میکنند، حذف میکند (SHA-224 به عنوان حداقل هش پشتیبانیشده برای امضاهای دیجیتال اعلام خواهد شد)، اما پشتیبانی از HMAC با SHA-1 را حفظ میکند و گزینهای را برای فعال کردن پروفایل LEGACY با SHA-1 فراهم میکند. پس از اعمال تغییرات، کتابخانه OpenSSL به طور پیشفرض تولید و تأیید امضاهای SHA-1 را مسدود میکند.
قرار است این تعطیلی در چند مرحله انجام شود: در فدورا Linux ۳۶ امضای مبتنی بر SHA-1 از سیاست "آینده" مستثنی خواهند شد. یک سیاست آزمایشی، TEST-FEDORA39، برای غیرفعال کردن SHA-1 به صلاحدید کاربر ارائه شده است (update-crypto-policies --set TEST-FEDORA39). هنگام ایجاد و تأیید امضاهای مبتنی بر SHA-1، هشدارها ثبت میشوند. در طول آمادهسازی انتشار فدورا، Linux ۳۸ قبل از نسخه بتا، مخزن rawhide سیاستی خواهد داشت که استفاده از امضاهای مبتنی بر SHA-1 را ممنوع میکند، اما در نسخههای بتا و فدورا Linux 38 این تغییر اعمال نخواهد شد. در نسخه فدورا Linux سیاست ۳۹ برای منسوخ کردن امضاهای مبتنی بر SHA-1 به طور پیشفرض اعمال خواهد شد.
طرح پیشنهادی هنوز توسط FESCo (کمیته راهبری مهندسی فدورا)، کمیته مسئول توسعه فنی توزیع فدورا، بررسی نشده است. منسوخ شدن امضاهای مبتنی بر SHA-1 به دلیل افزایش اثربخشی حملات تصادم مبتنی بر پیشوند است (هزینه حمله فراگیر (brute-forcing) برای یک تصادم دهها هزار دلار تخمین زده میشود). مرورگرها از اواسط سال ۲۰۱۶ گواهیهایی را که با استفاده از الگوریتم SHA-1 تأیید شدهاند، ناامن علامتگذاری کردهاند.
منبع: opennet.ru
