Fedora projesi, Fedora Linux 1'daki SHA-39 algoritmasını temel alan dijital imza desteğini devre dışı bırakma planının ana hatlarını çizdi. Devre dışı bırakma, SHA-1 karmalarını kullanan imzalara olan güveni sona erdirmeyi içerir (SHA-224, dijital imzalarda desteklenen minimum değer olarak ilan edilecektir). imzalar) ancak SHA-1 ile HMAC desteğinin sürdürülmesi ve SHA-1 ile LEGACY profilinin etkinleştirilmesi yeteneğinin sağlanması. Değişiklikler uygulandıktan sonra OpenSSL kütüphanesi varsayılan olarak SHA-1 ile imzaların oluşturulmasını ve doğrulanmasını engellemeye başlayacaktır.
Devre dışı bırakmanın birkaç aşamada gerçekleştirilmesi planlanıyor: Fedora Linux 36'da, SHA-1 tabanlı imzalar "GELECEK" politikasının dışında tutulacak, talebi üzerine SHA-39'i devre dışı bırakmak için TEST-FEDORA1 test politikası sağlanmıştır. kullanıcı (güncelleme-kripto-politikaları — TEST-FEDORA39'u ayarlayın), SHA-1'e dayalı imzalar oluştururken ve doğrularken, günlükte uyarılar görüntülenecektir. Fedora Linux 38'in beta öncesi sürümü sırasında ham deri deposu, SHA-1 tabanlı imzaların kullanımını yasaklayan bir politikaya sahip olacak, ancak bu değişiklik Fedora Linux 38'in beta ve sürümünde uygulanmayacaktır. Fedora Linux 39'un piyasaya sürülmesiyle birlikte SHA-1 tabanlı imzalara yönelik kullanımdan kaldırma politikası varsayılan olarak uygulanacaktır.
Önerilen plan, Fedora dağıtımının geliştirilmesinin teknik kısmından sorumlu olan FESCo (Fedora Mühendislik Yönlendirme Komitesi) tarafından henüz incelenmedi. SHA-1 tabanlı imzalara yönelik desteğin sona ermesi, belirli bir önekle çarpışma saldırılarının artan verimliliğinden kaynaklanmaktadır (bir çarpışma seçmenin maliyetinin birkaç onbinlerce dolar olduğu tahmin edilmektedir). Tarayıcılar, 1 ortasından bu yana SHA-2016 algoritması kullanılarak imzalanan sertifikaları güvensiz olarak işaretliyor.
Kaynak: opennet.ru