מפתחי פרויקט פדורה תיארו תוכנית להשבית את התמיכה בחתימות דיגיטליות מבוססות SHA-1 בפדורה. Linux 39. ההשבתה תסיר את האמון בחתימות המשתמשות בגיבובים של SHA-1 (SHA-224 יוכרז כגיבוב המינימלי הנתמך עבור חתימות דיגיטליות), אך תשמור על תמיכה ב-HMAC עם SHA-1 ותספק את האפשרות להפעיל את פרופיל LEGACY עם SHA-1. לאחר החלת השינויים, ספריית OpenSSL תחסום את היצירה והאימות של חתימות SHA-1 כברירת מחדל.
הסגר מתוכנן להתבצע בכמה שלבים: בפדורה Linux 36 חתימות מבוססות SHA-1 לא ייכללו במדיניות "FUTURE". מדיניות בדיקה, TEST-FEDORA39, סופקה כדי להשבית את SHA-1 לפי שיקול דעת המשתמש (update-crypto-policies --set TEST-FEDORA39). אזהרות יירשמו בעת יצירה ואימות של חתימות מבוססות SHA-1. במהלך הכנת שחרור Fedora, Linux 38 עד לגרסת הבטא, למאגר rawhide תהיה מדיניות האוסרת על שימוש בחתימות מבוססות SHA-1, אך בגרסאות הבטא ובפדורה Linux 38 שינוי זה לא יחול. בגרסת פדורה Linux מדיניות 39 להוצאת חתימות מבוססות SHA-1 משימוש תוחל כברירת מחדל.
התוכנית המוצעת טרם נבדקה על ידי ועדת ההיגוי של פדורה (FESCo) האחראית על החלק הטכני של פיתוח הפצת פדורה. סיום התמיכה בחתימות מבוססות SHA-1 נובע מהיעילות המוגברת של התקפות התנגשות עם קידומת נתונה (עלות בחירת התנגשות נאמדת בכמה עשרות אלפי דולרים). דפדפנים סימנו אישורים חתומים באמצעות אלגוריתם SHA-1 כלא מאובטחים מאז אמצע 2016.
מקור: OpenNet.ru
