Dự án Fedora đã vạch ra kế hoạch vô hiệu hóa hỗ trợ chữ ký số dựa trên thuật toán SHA-1 trong Fedora Linux 39. Việc vô hiệu hóa liên quan đến việc chấm dứt sự tin cậy vào các chữ ký sử dụng hàm băm SHA-1 (SHA-224 sẽ được tuyên bố là mức hỗ trợ tối thiểu trong kỹ thuật số signatures), nhưng vẫn duy trì hỗ trợ cho HMAC với SHA-1 và cung cấp khả năng kích hoạt cấu hình LEGACY với SHA-1. Sau khi áp dụng các thay đổi, thư viện OpenSSL theo mặc định sẽ bắt đầu chặn việc tạo và xác minh chữ ký bằng SHA-1.
Việc vô hiệu hóa dự kiến sẽ được thực hiện theo nhiều giai đoạn: Trong Fedora Linux 36, các chữ ký dựa trên SHA-1 sẽ bị loại khỏi chính sách “TƯƠNG LAI”, chính sách kiểm tra TEST-FEDORA39 được cung cấp để vô hiệu hóa SHA-1 theo yêu cầu của người dùng (update-crypto-policies —set TEST-FEDORA39 ), khi tạo và xác minh chữ ký dựa trên SHA-1, các cảnh báo sẽ được hiển thị trong nhật ký. Trong quá trình phát hành pre-beta của Fedora Linux 38, kho lưu trữ rawhide sẽ có chính sách cấm sử dụng chữ ký dựa trên SHA-1, tuy nhiên thay đổi này sẽ không được áp dụng trong bản beta và bản phát hành của Fedora Linux 38. Với việc phát hành Fedora Linux 39, chính sách ngừng sử dụng chữ ký dựa trên SHA-1 sẽ được áp dụng theo mặc định.
Kế hoạch đề xuất vẫn chưa được FESCo (Ban chỉ đạo kỹ thuật Fedora), cơ quan chịu trách nhiệm về phần kỹ thuật trong quá trình phát triển bản phân phối Fedora, xem xét. Việc ngừng hỗ trợ chữ ký dựa trên SHA-1 là do hiệu quả của các cuộc tấn công va chạm với tiền tố nhất định tăng lên (chi phí chọn xung đột ước tính lên tới vài chục nghìn đô la). Các trình duyệt đã gắn cờ chứng chỉ được ký bằng thuật toán SHA-1 là không an toàn kể từ giữa năm 2016.
Nguồn: opennet.ru