Fedora Linux 39 מתכננת להשבית את התמיכה בחתימות SHA-1 כברירת מחדל

פרויקט פדורה התווה תוכנית להשבית תמיכה בחתימות דיגיטליות המבוססות על אלגוריתם SHA-1 ב-Fedora Linux 39. השבתה כרוכה בהפסקת האמון בחתימות המשתמשות בגיבוב SHA-1 (SHA-224 יוכרז כמינימום הנתמך בדיגיטל חתימות), אך שמירה על תמיכה ב-HMAC עם SHA-1 ומספקת את היכולת לאפשר את פרופיל LEGACY עם SHA-1. לאחר החלת השינויים, ספריית OpenSSL תתחיל כברירת מחדל לחסום את היצירה והאימות של חתימות עם SHA-1.

ההשבתה מתוכננת להתבצע במספר שלבים: ב-Fedora Linux 36, חתימות מבוססות SHA-1 לא ייכללו במדיניות "FUTURE", ניתנת מדיניות בדיקה TEST-FEDORA39 כדי להשבית את SHA-1 לבקשת המשתמש (Update-crypto-policies —set TEST-FEDORA39 ), בעת יצירת ואימות חתימות המבוססות על SHA-1, אזהרות יוצגו ביומן. במהלך מהדורת קדם-בטא של Fedora Linux 38, למאגר ה-rawhide תהיה מדיניות האוסרת על שימוש בחתימות מבוססות SHA-1, אך שינוי זה לא יוחל בגרסת הבטא והמהדורה של Fedora Linux 38. עם שחרורו של Fedora Linux 39, מדיניות ההוצאה משימוש עבור חתימות מבוססות SHA-1 תוחל כברירת מחדל.

התוכנית המוצעת טרם נבדקה על ידי ועדת ההיגוי של פדורה (FESCo) האחראית על החלק הטכני של פיתוח הפצת פדורה. סיום התמיכה בחתימות מבוססות SHA-1 נובע מהיעילות המוגברת של התקפות התנגשות עם קידומת נתונה (עלות בחירת התנגשות נאמדת בכמה עשרות אלפי דולרים). דפדפנים סימנו אישורים חתומים באמצעות אלגוריתם SHA-1 כלא מאובטחים מאז אמצע 2016.

מקור: OpenNet.ru