Projekt Fedora zacrtao je plan za onemogućavanje podrške za digitalne potpise temeljene na SHA-1 algoritmu u Fedora Linux 39. Onemogućavanje uključuje ukidanje povjerenja u potpise koji koriste SHA-1 hashove (SHA-224 bit će deklariran kao minimum podržan u digitalnom potpisi), ali zadržavajući podršku za HMAC sa SHA-1 i pružajući mogućnost omogućavanja LEGACY profila sa SHA-1. Nakon primjene promjena, OpenSSL biblioteka će prema zadanim postavkama početi blokirati generiranje i provjeru potpisa pomoću SHA-1.
Planirano je da se onemogućavanje provede u nekoliko faza: u Fedora Linux 36, potpisi temeljeni na SHA-1 bit će isključeni iz pravila "BUDUĆNOSTI", testno pravilo TEST-FEDORA39 dostupno je za onemogućavanje SHA-1 na zahtjev korisniku (update-crypto-policies —set TEST-FEDORA39), prilikom stvaranja i provjere potpisa na temelju SHA-1, upozorenja će biti prikazana u zapisniku. Tijekom pre-beta izdanja Fedora Linux 38, spremište sirove kože imat će pravilo zabrane upotrebe potpisa temeljenih na SHA-1, ali ova promjena neće biti primijenjena u beta verziji i izdanju Fedora Linux 38. S izdanjem Fedora Linux 39, pravilo zastarevanja za potpise temeljene na SHA-1 primjenjivat će se prema zadanim postavkama.
Predloženi plan još nije pregledan od strane FESCo (Fedora Engineering Steering Committee), koji je odgovoran za tehnički dio razvoja Fedora distribucije. Do kraja podrške za potpise temeljene na SHA-1 dolazi zbog povećane učinkovitosti kolizijskih napada s danim prefiksom (cijena odabira kolizije procjenjuje se na nekoliko desetaka tisuća dolara). Preglednici su od sredine 1. označili certifikate potpisane algoritmom SHA-2016 kao nesigurne.
Izvor: opennet.ru