Projekt Fedora načrtol plán na deaktiváciu podpory pre digitálne podpisy založené na algoritme SHA-1 vo Fedora Linux 39. Zakázanie zahŕňa ukončenie dôvery v podpisy, ktoré používajú hash SHA-1 (SHA-224 bude deklarovaný ako minimum podporované v digitálnych podpisy), ale zachováva podporu pre HMAC s SHA-1 a poskytuje možnosť povoliť profil LEGACY s SHA-1. Po použití zmien knižnica OpenSSL štandardne začne blokovať generovanie a overovanie podpisov pomocou SHA-1.
Deaktivácia sa plánuje vykonať v niekoľkých fázach: Vo Fedora Linux 36 budú podpisy založené na SHA-1 vylúčené z politiky „BUDÚCE“, testovacia politika TEST-FEDORA39 je poskytnutá na deaktiváciu SHA-1 na žiadosť používateľa (update-crypto-polities —set TEST-FEDORA39 ), pri vytváraní a overovaní podpisov na základe SHA-1 sa v protokole zobrazia varovania. Počas predbežného beta vydania Fedora Linux 38 bude mať úložisko rawhide politiku zakazujúcu používanie podpisov založených na SHA-1, ale táto zmena sa nepoužije v beta verzii a vydaní Fedora Linux 38. S vydaním Fedora Linux 39 sa štandardne použije politika ukončenia podpory pre podpisy založené na SHA-1.
Navrhovaný plán ešte nebol posúdený FESCo (Fedora Engineering Steering Committee), ktorý je zodpovedný za technickú časť vývoja distribúcie Fedory. Ukončenie podpory podpisov na báze SHA-1 je spôsobené zvýšenou efektivitou kolíznych útokov s daným prefixom (náklady na výber kolízie sa odhadujú na niekoľko desiatok tisíc dolárov). Prehliadače od polovice roku 1 označili certifikáty podpísané pomocou algoritmu SHA-2016 za nezabezpečené.
Zdroj: opennet.ru