Pembangun Projek Fedora telah menggariskan rancangan untuk melumpuhkan sokongan untuk tandatangan digital berasaskan SHA-1 di Fedora. Linux 39. Pelumpuhan akan mengalih keluar kepercayaan pada tandatangan yang menggunakan hash SHA-1 (SHA-224 akan diisytiharkan sebagai hash minimum yang disokong untuk tandatangan digital), tetapi akan mengekalkan sokongan untuk HMAC dengan SHA-1 dan menyediakan pilihan untuk mendayakan profil LEGACY dengan SHA-1. Selepas menggunakan perubahan, pustaka OpenSSL akan menyekat penjanaan dan pengesahan tandatangan SHA-1 secara lalai.
Penutupan itu dirancang untuk dijalankan dalam beberapa peringkat: Di Fedora Linux 36 tandatangan berasaskan SHA-1 akan dikecualikan daripada dasar "FUTURE". Dasar ujian, TEST-FEDORA39, telah disediakan untuk melumpuhkan SHA-1 mengikut budi bicara pengguna (update-crypto-policies --set TEST-FEDORA39). Amaran akan direkodkan semasa mencipta dan mengesahkan tandatangan berasaskan SHA-1. Semasa persediaan keluaran Fedora, Linux 38 Sebelum beta, repositori rawhide akan mempunyai dasar yang melarang penggunaan tandatangan berasaskan SHA-1, tetapi dalam beta dan keluaran Fedora Linux 38 perubahan ini tidak akan digunakan. Dalam keluaran Fedora Linux Dasar 39 untuk menghentikan penggunaan tandatangan berasaskan SHA-1 akan digunakan secara lalai.
Pelan yang dicadangkan belum lagi disemak oleh FESCo (Jawatankuasa Pemandu Kejuruteraan Fedora), jawatankuasa yang bertanggungjawab untuk pembangunan teknikal pengedaran Fedora. Penamatan tandatangan berasaskan SHA-1 adalah disebabkan oleh peningkatan keberkesanan serangan perlanggaran berasaskan awalan (kos perlanggaran paksaan secara kasar dianggarkan berjumlah puluhan ribu dolar). Penyemak imbas telah menandakan sijil yang disahkan menggunakan algoritma SHA-1 sebagai tidak selamat sejak pertengahan 2016.
Sumber: opennet.ru
