I Fedora 39 planlægger de at deaktivere understøttelse af SHA-1-signaturer 

nylig nyheden blev frigivet af udviklerne af Fedora-projektet, og det er, de gjorde kendt en plan om at deaktivere understøttelse af SHA-1 digitale signaturer til udgivelsen af ​​"Fedora Linux 39".

Det nævnes, at planen om at deaktivere signaturer indebærer eliminering af tillid til signaturer, der bruger SHA-1 hashes (SHA-224 vil blive erklæret som minimum tilladt i digitale signaturer), men beholder støtte til HMAC med SHA-1 og giver mulighed for at aktivere LEGACY-profilen med SHA-1.

Hovedårsagen til, at Fedora-udviklerne er kommet til denne konklusion, er, at ophøret med understøttelse af SHA-1-baserede signaturer skyldes en stigning i effektiviteten af ​​kollisionsangreb med et givet præfiks (omkostningerne ved at vælge en kollision er anslået til flere titusindvis af dollars). Ud over det i browsere er certifikater, der er autentificeret ved hjælp af SHA-1-algoritmen, blevet markeret som ikke-sikre siden midten af ​​2016.

Den vigtigste ændring denne gang vil være at have mistillid til SHA-1-signaturer.
på det kryptografiske biblioteksniveau, hvilket påvirker mere end blot TLS.

OpenSSL begynder som standard at blokere for oprettelse og verifikation af signaturer,
med den forventede nedbør, der vil være rigelig nok
for os at implementere forandringen gennem flere cyklusser
med flere opslag
for at give udviklere og vedligeholdere tid nok til at reagere.

Det er værd at nævne, at efter anvendelse af de beskrevne ændringer, vil OpenSSL-biblioteket som standard blokere generering og verifikation af signaturer med SHA-1.

Deaktivering er planlagt til at blive udført i flere faser, som i Fedora Linux 36 og 37 udgivelser, vil SHA-1-baserede signaturer blive fjernet fra "FUTURE"-politikken, plus jeg planlægger at levere en testpolitik TEST-FEDORA39 for at deaktivere SHA-1 på brugeranmodning (opdatering -crypto-policies – sæt TEST-FEDORA39), når der oprettes og verificeres SHA-1-baserede signaturer, vil advarsler blive vist i loggen.

For Fedora 39 vil politikkerne i TLS-perspektiv være:
EFTERMÆLE
MAC: alle HMAC'er med SHA1 eller højere + alle moderne MAC'er (Poly1305 osv.)
Kurver: alle primtal >= 255 bit (inklusive Bernstein-kurver)
Signaturalgoritmer: SHA-1 hash eller bedre (ingen DSA)
Krypteringskoder: alle tilgængelige > 112-bit nøgle, >= 128-bit blok (ingen RC4 eller 3DES)
Nøgleudveksling: ECDHE, RSA, DHE (uden DHE-DSS)
DH-parameterstørrelse: >=2048
RSA-parameterstørrelse: >=2048
TLS-protokoller: TLS >= 1.2

Derefter, under pre-beta-udgivelsen af ​​Fedora Linux 38, vil depotet have en politik mod SHA-1-signaturer, men denne ændring vil ikke gælde for beta- og udgivelsen af ​​Fedora Linux 38. Med udgivelsen af ​​Fedora Linux 39, SHA-1 signaturudfasningspolitikken vil blive anvendt som standard.

Den foreslåede plan er endnu ikke blevet gennemgået af FESCo (Fedora Engineering Steering Committee), som er ansvarlig for den tekniske del af udviklingen af ​​Fedora-distributionen.

Endvidere Det er også værd at tilføje i Red Hat er blevet advaret om ophøret af support til GTK 2-biblioteket, startende med den næste gren af ​​Red Hat Enterprise Linux.

gtk2-pakken vil ikke være inkluderet i RHEL 10-udgivelsen, som kun vil understøtte GTK 3 og GTK 4. GTK 2 blev fjernet på grund af udfasningen af ​​værktøjssættet og manglende understøttelse af moderne teknologier som Wayland, HiDPI og HDR.

Værktøjssættet tjente os taknemmeligt, men det begynder at vise sin alder med hensyn til moderne teknologier som Wayland, HiDPI-skærme, HDR og andre.

Programmer, der forbliver bundet til GTK 2, såsom GIMP og Ardour, forventes at have tid til at migrere til nye GTK-grene inden 2025, hvilket forventes at frigive RHEL 10. I Ubuntu 22.04 bruger 504 pakker libgtk2 som en afhængighed.

Grunden til at nævne dette er, at en sådan ændring også ender med at blive implementeret i nogle af de næste versioner af Fedora.

Endelig hvis du er interesseret i at vide mere om det om listen over ændringer, der er planlagt til deaktivering af signaturer, kan du se detaljerne i følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.