A Fedora projekt felvázolt egy tervet az SHA-1 algoritmuson alapuló digitális aláírások támogatásának letiltására a Fedora Linux 39 rendszerben. A letiltással az SHA-1 hasheket használó aláírásokba vetett bizalom megszűnik (az SHA-224 lesz a minimálisan támogatott digitális aláírás). aláírások), de fenntartja a HMAC támogatását az SHA-1 segítségével, és lehetővé teszi a LEGACY profil engedélyezését az SHA-1 segítségével. A változtatások alkalmazása után az OpenSSL-könyvtár alapértelmezés szerint blokkolja az aláírások generálását és ellenőrzését az SHA-1 segítségével.
A letiltást több lépésben tervezik végrehajtani: Fedora Linux 36-ban az SHA-1 alapú aláírások ki lesznek zárva a „FUTURE” házirendből, a TESZT-FEDORA39 teszt házirendet biztosítunk az SHA-1 letiltásához a felhasználó kérésére. a felhasználó (update-crypto-policies —set TEST-FEDORA39 ), az SHA-1 alapján történő aláírások létrehozásakor és ellenőrzésekor figyelmeztetések jelennek meg a naplóban. A Fedora Linux 38 béta előtti kiadása során a nyersbőr tárolóban az SHA-1 alapú aláírások használatát tiltó szabályzat lesz érvényes, de ez a változás nem érvényesül a Fedora Linux 38 béta- és kiadásában. A Fedora Linux 39 kiadásával az SHA-1 alapú aláírások elavulási házirendje alapértelmezés szerint érvénybe lép.
A javasolt tervet még nem vizsgálta felül a Fedora terjesztés fejlesztésének technikai részéért felelős FESCo (Fedora Engineering Steering Committee). Az SHA-1 alapú aláírások támogatásának megszűnése az ütközési támadások fokozott hatékonyságának köszönhető egy adott előtaggal (az ütközés kiválasztásának költségét több tízezer dollárra becsülik). A böngészők 1 közepe óta nem biztonságosként jelölték meg az SHA-2016 algoritmussal aláírt tanúsítványokat.
Forrás: opennet.ru