Proyek Fedora telah menguraikan rencana untuk menonaktifkan dukungan untuk tanda tangan digital berdasarkan algoritma SHA-1 di Fedora Linux 39. Penonaktifan melibatkan penghentian kepercayaan pada tanda tangan yang menggunakan hash SHA-1 (SHA-224 akan dinyatakan sebagai minimum yang didukung dalam digital tanda tangan), tetapi mempertahankan dukungan untuk HMAC dengan SHA-1 dan menyediakan kemampuan untuk mengaktifkan profil LEGACY dengan SHA-1. Setelah menerapkan perubahan, pustaka OpenSSL secara default akan mulai memblokir pembuatan dan verifikasi tanda tangan dengan SHA-1.
Penonaktifan rencananya akan dilakukan dalam beberapa tahap: Di Fedora Linux 36, tanda tangan berbasis SHA-1 akan dikecualikan dari kebijakan βFUTUREβ, kebijakan pengujian TEST-FEDORA39 disediakan untuk menonaktifkan SHA-1 atas permintaan pengguna (update-crypto-policies βset TEST-FEDORA39 ), saat membuat dan memverifikasi tanda tangan berdasarkan SHA-1, peringatan akan ditampilkan di log. Selama rilis pra-beta Fedora Linux 38, repositori kulit mentah akan memiliki kebijakan yang melarang penggunaan tanda tangan berbasis SHA-1, namun perubahan ini tidak akan diterapkan dalam versi beta dan rilis Fedora Linux 38. Dengan dirilisnya Fedora Linux 39, kebijakan penghentian tanda tangan berbasis SHA-1 akan diterapkan secara default.
Rencana yang diusulkan belum ditinjau oleh FESCo (Fedora Engineering Steering Committee), yang bertanggung jawab atas bagian teknis pengembangan distribusi Fedora. Berakhirnya dukungan untuk tanda tangan berbasis SHA-1 disebabkan oleh peningkatan efisiensi serangan tabrakan dengan awalan tertentu (biaya pemilihan tabrakan diperkirakan mencapai beberapa puluh ribu dolar). Browser telah menandai sertifikat yang ditandatangani menggunakan algoritma SHA-1 sebagai tidak aman sejak pertengahan tahun 2016.
Sumber: opennet.ru