Projek Fedora telah menggariskan rancangan untuk melumpuhkan sokongan untuk tandatangan digital berdasarkan algoritma SHA-1 dalam Fedora Linux 39. Melumpuhkan melibatkan penamatan kepercayaan terhadap tandatangan yang menggunakan cincang SHA-1 (SHA-224 akan diisytiharkan sebagai minimum yang disokong dalam digital tandatangan), tetapi mengekalkan sokongan untuk HMAC dengan SHA-1 dan menyediakan keupayaan untuk mendayakan profil LEGACY dengan SHA-1. Selepas menggunakan perubahan, perpustakaan OpenSSL secara lalai akan mula menyekat penjanaan dan pengesahan tandatangan dengan SHA-1.
Pelumpuhan ini dirancang untuk dijalankan dalam beberapa peringkat: Dalam Fedora Linux 36, tandatangan berasaskan SHA-1 akan dikecualikan daripada dasar "MASA DEPAN", dasar ujian TEST-FEDORA39 disediakan untuk melumpuhkan SHA-1 atas permintaan daripada pengguna (kemas kini-crypto-policies βset TEST-FEDORA39 ), apabila membuat dan mengesahkan tandatangan berdasarkan SHA-1, amaran akan dipaparkan dalam log. Semasa keluaran pra-beta Fedora Linux 38, repositori kulit mentah akan mempunyai dasar yang melarang penggunaan tandatangan berasaskan SHA-1, tetapi perubahan ini tidak akan digunakan dalam beta dan keluaran Fedora Linux 38. Dengan keluaran Fedora Linux 39, dasar penamatan untuk tandatangan berasaskan SHA-1 akan digunakan secara lalai.
Pelan yang dicadangkan itu belum lagi disemak oleh FESCo (Jawatankuasa Pemandu Kejuruteraan Fedora), yang bertanggungjawab untuk bahagian teknikal pembangunan pengedaran Fedora. Penamatan sokongan untuk tandatangan berasaskan SHA-1 adalah disebabkan oleh peningkatan kecekapan serangan perlanggaran dengan awalan tertentu (kos memilih perlanggaran dianggarkan pada beberapa puluh ribu dolar). Penyemak imbas telah membenderakan sijil yang ditandatangani menggunakan algoritma SHA-1 sebagai tidak selamat sejak pertengahan 2016.
Sumber: opennet.ru