ProHoster > blog > internetnieuws > Fedora Linux 39 is van plan om standaard ondersteuning voor op SHA-1 gebaseerde handtekeningen uit te schakelen

Fedora Linux 39 is van plan om standaard ondersteuning voor op SHA-1 gebaseerde handtekeningen uit te schakelen

Het Fedora project heeft een plan geschetst om ondersteuning voor digitale handtekeningen uit te schakelen, gebaseerd op het SHA-1 algoritme in Fedora Linux 39. Uitschakelen betekent het beëindigen van het vertrouwen in handtekeningen die SHA-1 hashes gebruiken (SHA-224 zal verklaard worden als het minimum ondersteund in digitale handtekeningen). handtekeningen), maar met behoud van ondersteuning voor HMAC met SHA-1 en het bieden van de mogelijkheid om het LEGACY-profiel in te schakelen met SHA-1. Na het toepassen van de wijzigingen begint de OpenSSL-bibliotheek standaard het genereren en verifiëren van handtekeningen met SHA-1 te blokkeren.

Het is de bedoeling dat het uitschakelen in verschillende fasen wordt uitgevoerd: In Fedora Linux 36 zullen op SHA-1 gebaseerde handtekeningen worden uitgesloten van het “FUTURE” beleid, een testbeleid TEST-FEDORA39 is voorzien om SHA-1 uit te schakelen op verzoek van de gebruiker (update-crypto-policies —set TEST-FEDORA39 ), bij het aanmaken en verifiëren van handtekeningen op basis van SHA-1, zullen waarschuwingen in het log worden weergegeven. Tijdens de pre-bèta release van Fedora Linux 38 zal de rawhide repository een beleid hebben dat het gebruik van op SHA-1 gebaseerde handtekeningen verbiedt, maar deze verandering zal niet worden toegepast in de bèta en release van Fedora Linux 38. Met de uitgave van Fedora Linux 39 zal het afschaffingsbeleid voor op SHA-1 gebaseerde handtekeningen standaard worden afgedwongen.

Het voorgestelde plan is nog niet beoordeeld door de FESCo (Fedora Engineering Steering Committee), die verantwoordelijk is voor het technische deel van de ontwikkeling van de Fedora-distributie. Het einde van de ondersteuning voor op SHA-1 gebaseerde handtekeningen is te wijten aan de toegenomen efficiëntie van botsingsaanvallen met een bepaald voorvoegsel (de kosten voor het selecteren van een botsing worden geschat op enkele tienduizenden dollars). Sinds medio 1 markeren browsers certificaten die zijn ondertekend met het SHA-2016-algoritme als onveilig.

Bron: opennet.ru

Voeg een reactie