Nedavno vijest je objavljena od strane programera Fedora projekta i to je da su oni objavili plan za onemogućavanje podrške za SHA-1 digitalne potpise za izdavanje "Fedora Linux 39".
Spominje se da plan onemogućavanja potpisa podrazumijeva eliminaciju povjerenja u potpise koji koriste SHA-1 hasheve (SHA-224 će biti deklariran kao minimalno dozvoljen u digitalnim potpisima), ali zadržavanje podrške za HMAC sa SHA-1 i pružanje mogućnosti za omogućavanje LEGACY profila sa SHA-1.
Glavni razlog zašto su Fedora programeri došli do ovog zaključka je da je kraj podrške za SHA-1 bazirane potpise je zbog povećanja efikasnosti napada sudara sa datim prefiksom (trošak odabira sudara procjenjuje se na nekoliko desetina hiljada dolara). Osim toga u pretraživačima, certifikati autentifikovani pomoću SHA-1 algoritma su od sredine 2016. godine označeni kao nebezbedni.
Glavna promjena ovog puta će biti nepovjerenje u SHA-1 potpise.
na nivou kriptografske biblioteke, utičući na više od samo TLS.OpenSSL će po defaultu početi blokirati kreiranje i verifikaciju potpisa,
uz predviđene padavine koje će biti dovoljno obilne
da bismo implementirali promjenu kroz više ciklusa
sa više obaveštenja
da daju programerima i održavaocima dovoljno vremena da reaguju.
Vrijedi napomenuti da će nakon primjene opisanih promjena OpenSSL biblioteka po defaultu blokirati generiranje i verifikaciju potpisa sa SHA-1.
Planirano je da se deaktivacija izvrši u nekoliko faza, kao iu Fedora Linux 36 i 37 izdanjima, potpisi zasnovani na SHA-1 će biti uklonjeni iz politike "BUDUĆNOST", plus planiram da obezbedim testnu politiku TEST-FEDORA39 da onemogućim SHA-1 na zahtev korisnika (ažuriranje -kripto-politike – set TEST-FEDORA39), prilikom kreiranja i provjere potpisa zasnovanih na SHA-1, upozorenja će biti prikazana u dnevniku.
Za Fedora 39, politike će biti, u TLS perspektivi:
OSTAVINA
MAC: svi HMAC-ovi sa SHA1 ili višim + svi moderni MAC-ovi (Poly1305, itd.)
Krive: svi prosti brojevi >= 255 bita (uključujući Bernsteinove krive)
Algoritmi potpisa: SHA-1 hash ili bolji (bez DSA)
Šifre: sve dostupne > 112-bitni ključ, >= 128-bitni blok (bez RC4 ili 3DES)
Razmjena ključeva: ECDHE, RSA, DHE (bez DHE-DSS)
Veličina DH parametra: >=2048
RSA veličina parametra: >=2048
TLS protokoli: TLS >= 1.2
Nakon toga, tokom pre-beta izdanja Fedora Linuxa 38, spremište će imati politiku protiv SHA-1 potpisa, ali ova promjena se neće primjenjivati na beta i izdanje Fedora Linuxa 38. Sa izdanjem Fedora Linuxa 39, politika zastarjelosti SHA-1 potpisa će se primijeniti prema zadanim postavkama.
Predloženi plan još nije pregledan od strane FESC-a (Fedora Engineering Steering Committee), koji je odgovoran za tehnički dio razvoja Fedora distribucije.
Sa druge strane, Vrijedi dodati i to u Red Hatu je upozoreno o prestanku podrške za GTK 2 biblioteku, počevši od sljedeće grane Red Hat Enterprise Linuxa.
Paket gtk2 neće biti uključen u RHEL 10 izdanje, koje će podržavati samo GTK 3 i GTK 4. GTK 2 je uklonjen zbog zastarjelosti skupa alata i nedostatka podrške za moderne tehnologije kao što su Wayland, HiDPI i HDR.
Komplet alata nam je poslužio sa zahvalnošću, ali počinje da pokazuje svoje godine u pogledu modernih tehnologija kao što su Wayland, HiDPI displeji, HDR i drugi.
Očekuje se da će programi koji ostaju vezani za GTK 2, kao što su GIMP i Ardour, imati vremena da migriraju na nove GTK grane prije 2025. godine, za koju se očekuje da će objaviti RHEL 10. U Ubuntu 22.04, 504 paketa koriste libgtk2 kao zavisnost.
Razlog za ovo je da se takva promjena također implementira u neke od sljedećih verzija Fedore.
Konačno ako ste zainteresirani da saznate više o tome o listi izmjena koje se planiraju na onemogućavanju potpisa možete pogledati detalje u sljedeći link.