Twórcy projektu Fedora przedstawili plan wyłączenia obsługi podpisów cyfrowych opartych na algorytmie SHA-1 w Fedorze. Linux 39. Отключение предполагает прекращение доверия к подписям, в которых используются хэши SHA-1 (в качестве минимально поддерживаемого в цифровых подписях будет заявлен SHA-224), но сохранение поддержки HMAC с SHA-1 и предоставлении возможности включить LEGACY-профиль с SHA-1. После применения изменений библиотека OpenSSL по умолчанию начнёт блокировать генерацию и проверку подписей с SHA-1.
Отключение планируется провести в несколько этапов: В Fedora Linux 36 подписи на основе SHA-1 будут исключены из политики «FUTURE», предоставлена тестовая политика TEST-FEDORA39 для отключения SHA-1 по желанию пользователя (update-crypto-policies —set TEST-FEDORA39), при создании и верификации подписей на основе SHA-1 в логе будут отображаться предупреждения. В процессе подготовки выпуска Fedora Linux 38 до формирования бета-версии в репозитории rawhide будет применена политика, запрещающая использование подписей на основе SHA-1, но в бета-выпуске и релизе Fedora Linux 38 это изменение применяться не будет. В выпуске Fedora Linux 39 политика с прекращением поддержки подписей на основе SHA-1 будет применена по умолчанию.
Proponowany plan nie został jeszcze oceniony przez Komitet Sterujący Inżynierią Fedory (FESCo), który odpowiada za techniczny rozwój dystrybucji Fedora. Zaprzestanie wsparcia dla podpisów opartych na algorytmie SHA-1 wynika ze zwiększonej skuteczności ataków kolizyjnych z użyciem danego prefiksu (koszt znalezienia kolizji szacuje się na kilkadziesiąt tysięcy dolarów). Od połowy 1 roku przeglądarki oznaczają certyfikaty zweryfikowane za pomocą algorytmu SHA-2016 jako niebezpieczne.
Źródło: opennet.ru
