Fedora loyihasi Fedora Linux 1 da SHA-39 algoritmiga asoslangan raqamli imzolarni qoʻllab-quvvatlashni oʻchirish rejasini ishlab chiqdi. Oʻchirish SHA-1 xeshlaridan foydalanadigan imzolarga ishonchni toʻxtatishni oʻz ichiga oladi (SHA-224 raqamli imzo qoʻllab-quvvatlanadigan minimal deb eʼlon qilinadi) imzolar), lekin SHA-1 bilan HMAC-ni qo'llab-quvvatlash va SHA-1 bilan LEGACY profilini yoqish qobiliyatini ta'minlash. O'zgarishlarni qo'llaganingizdan so'ng, OpenSSL kutubxonasi sukut bo'yicha SHA-1 bilan imzolarni yaratish va tekshirishni bloklashni boshlaydi.
O'chirish bir necha bosqichda amalga oshirilishi rejalashtirilgan: Fedora Linux 36-da SHA-1-ga asoslangan imzolar "KELAJAK" siyosatidan chiqarib tashlanadi, iltimosiga binoan SHA-39-ni o'chirish uchun TEST-FEDORA1 sinov siyosati taqdim etiladi. foydalanuvchi (yangilash-kripto-politikalar - TEST-FEDORA39 to'plami), SHA-1 asosida imzolarni yaratish va tekshirishda jurnalda ogohlantirishlar ko'rsatiladi. Fedora Linux 38-ning beta-versiyasidan oldingi versiyasida xom teri omborida SHA-1-ga asoslangan imzolardan foydalanishni taqiqlovchi siyosat bo'ladi, ammo bu o'zgarish Fedora Linux 38-ning beta-versiyasida va nashrida qo'llanilmaydi. Fedora Linux 39-ning chiqarilishi bilan SHA-1-ga asoslangan imzolar uchun eskirish siyosati sukut bo'yicha amalga oshiriladi.
Taklif etilayotgan reja hali FESCo (Fedora muhandislik boshqaruvi qo'mitasi) tomonidan ko'rib chiqilmagan, u Fedora taqsimotini ishlab chiqishning texnik qismi uchun mas'uldir. SHA-1-ga asoslangan imzolarni qo'llab-quvvatlashning tugashi ma'lum bir prefiks bilan to'qnashuv hujumlarining samaradorligi oshishi bilan bog'liq (to'qnashuvni tanlash narxi bir necha o'n minglab dollarlarga baholanadi). Brauzerlar SHA-1 algoritmi yordamida imzolangan sertifikatlarni 2016-yilning oʻrtalaridan boshlab xavfsiz emas deb belgilagan.
Manba: opennet.ru