fa poc es va donar a conèixer la notícia per part dels desenvolupadors del projecte Fedora i és que van donar a conèixer un pla per deshabilitar la compatibilitat amb les firmes digitals SHA-1 per al llançament de «Fedora Linux 39».
S'esmenta que sobre el pla de deshabilitar les signatures implica eliminar la confiança en les signatures que usen hashes SHA-1 (SHA-224 es declararà com el mínim admès a les signatures digitals), però mantenint el suport per a HMAC amb SHA-1 i brindant la capacitat d'habilitar el perfil LEGACY amb SHA-1.
El motiu principal del perquè els desenvolupadors de Fedora han arribat a aquesta conclusió, és que la fi del suport per a firmes basades en SHA-1 es deu a un augment en l'eficiència dels atacs de col·lisió amb un prefix donat (el cost de triar una col·lisió s'estima en diverses desenes de milers de dòlars). A més que als navegadors, els certificats autenticats mitjançant l'algoritme SHA-1 s'han marcat com a no segurs des de mitjans de 2016.
El canvi principal aquesta vegada serà desconfiar de les firmes SHA-1
al nivell de la biblioteca criptogràfica, afectant més que només TLS.OpenSSL començarà a bloquejar la creació i verificació de signatures per defecte,
amb la precipitació anticipada que serà prou àmplia
perquè implementem el canvi a través de múltiples cicles
amb múltiples avisos
per donar als desenvolupadors i mantenidors temps suficient per reaccionar.
Cal esmentar que després d'aplicar els canvis descrits, la biblioteca OpenSSL bloquejarà per defecte la generació i la verificació de signatures amb SHA-1.
Està previst que la desactivació es dugui a terme en diverses etapes, ja que en les versions de Fedora Linux 36 i 37, les firmes basades en SHA-1 s'eliminaran de la política «FUTURE», a més que planegi proporcionar una política de prova TEST-FEDORA39 per desactivar SHA-1 a petició de l'usuari (update -crypto-policies (set TEST-FEDORA39), en crear i verificar signatures basades en SHA-1, es mostraran advertiments al registre.
Per Fedora 39, les polítiques seran, en perspectiva TLS:
LLEGAT
MAC: tots els HMAC amb SHA1 o superior + tots els MAC moderns (Poly1305, etc.)
Corbes: tots cosins >= 255 bits (incloses les corbes de Bernstein)
Algorismes de signatura: hash SHA-1 o millor (sense DSA)
Xifrats: tots disponibles > clau de 112 bits, >= bloc de 128 bits (sense RC4 o 3DES)
Intercanvi de claus: ECDHE, RSA, DHE (sense DHE-DSS)
Grandària de paràmetres DH: >=2048
Grandària de paràmetres RSA: >=2048
Protocols TLS: TLS >= 1.2
Posteriorment, durant la versió prebeta de Fedora Linux 38, el repositori tindrà una política contra les firmes SHA-1, però aquest canvi no s'aplicarà a la versió beta i la versió de Fedora Linux 38. Amb el llançament de Fedora Linux 39, la política de desaprovació de signatures SHA-1 s'aplicarà per defecte.
El pla proposat encara no ha estat revisat pel FESCo (Comitè Directiu d'Enginyeria de Fedora), responsable de la part tècnica del desenvolupament de la distribució de Fedora.
D'altra banda, també val la pena afegir que a Red Hat s'ha advertit sobre el final del suport per a la biblioteca GTK 2, començant amb la propera branca de Red Hat Enterprise Linux.
El paquet gtk2 no s'inclourà a la versió RHEL 10, que només admetrà GTK 3 i GTK 4. GTK 2 es va eliminar a causa de l'obsolescència del conjunt d'eines i la manca de suport per a tecnologies modernes com Wayland, HiDPI i HDR.
El kit d'eines ens va servir amb gratitud, però comença a mostrar la seva edat pel que fa a les tecnologies modernes com Wayland, pantalles HiDPI, HDR i d'altres.
S'espera que els programes que estiguin vinculats a GTK 2, com GIMP i Ardour, tinguin temps de migrar a noves branques de GTK abans del 2025, que s'espera que llancin RHEL 10. A Ubuntu 22.04, els paquets 504 usen libgtk2 com a dependència.
El motiu d'esmentar això és que aquest canvi també acabi sent implementat en alguna de les properes versions de Fedora.
Finalment si estàs interessat en poder conèixer més a l'respecte sobre la llista de canvis que es tenen planejats sobre la deshabilitació de les signatures, pots consultar els detalls al següent enllaç.