Στο Fedora 39 σχεδιάζουν να απενεργοποιήσουν την υποστήριξη για υπογραφές SHA-1 

Πρόσφατα η είδηση ​​κυκλοφόρησε από τους προγραμματιστές του έργου Fedora και αυτό το έκαναν γνωστό ένα σχέδιο απενεργοποίησης της υποστήριξης για ψηφιακές υπογραφές SHA-1 για την κυκλοφορία του "Fedora Linux 39".

Αναφέρεται ότι το σχέδιο απενεργοποίησης των υπογραφών συνεπάγεται την εξάλειψη της εμπιστοσύνης στις υπογραφές που χρησιμοποιούν κατακερματισμούς SHA-1 (το SHA-224 θα δηλωθεί ως το ελάχιστο επιτρεπόμενο στις ψηφιακές υπογραφές), αλλά διατηρώντας την υποστήριξη για HMAC με SHA-1 και παρέχει τη δυνατότητα ενεργοποίησης του προφίλ LEGACY με το SHA-1.

Ο κύριος λόγος για τον οποίο οι προγραμματιστές του Fedora κατέληξαν σε αυτό το συμπέρασμα είναι ότι το τέλος της υποστήριξης για υπογραφές που βασίζονται στο SHA-1 οφείλεται στην αύξηση της αποτελεσματικότητας των επιθέσεων σύγκρουσης με δεδομένο πρόθεμα (το κόστος επιλογής μιας σύγκρουσης υπολογίζεται σε αρκετές δεκάδες χιλιάδες δολάρια). Εκτός από αυτό στα προγράμματα περιήγησης, τα πιστοποιητικά που ελέγχονται με χρήση του αλγόριθμου SHA-1 έχουν επισημανθεί ως μη ασφαλή από τα μέσα του 2016.

Η κύρια αλλαγή αυτή τη φορά θα είναι η δυσπιστία στις υπογραφές SHA-1.
σε επίπεδο κρυπτογραφικής βιβλιοθήκης, επηρεάζοντας κάτι περισσότερο από το TLS.

Το OpenSSL θα αρχίσει να αποκλείει τη δημιουργία και την επαλήθευση των υπογραφών από προεπιλογή,
με την αναμενόμενη βροχόπτωση που θα είναι αρκετά άφθονη
για να εφαρμόσουμε την αλλαγή μέσω πολλαπλών κύκλων
με πολλαπλές ανακοινώσεις
να δώσει στους προγραμματιστές και τους συντηρητές αρκετό χρόνο για να αντιδράσουν.

Αξίζει να αναφέρουμε ότι μετά την εφαρμογή των περιγραφόμενων αλλαγών, η βιβλιοθήκη OpenSSL θα μπλοκάρει από προεπιλογή τη δημιουργία και την επαλήθευση υπογραφών με το SHA-1.

Η απενεργοποίηση σχεδιάζεται να πραγματοποιηθεί σε διάφορα στάδια, όπως και στις εκδόσεις Fedora Linux 36 και 37, οι υπογραφές που βασίζονται στο SHA-1 θα αφαιρεθούν από την πολιτική "FUTURE", συν σκοπεύω να παράσχω μια πολιτική δοκιμής TEST-FEDORA39 για την απενεργοποίηση του SHA-1 κατόπιν αιτήματος χρήστη (ενημέρωση -crypto-policies - set TEST-FEDORA39), κατά τη δημιουργία και την επαλήθευση υπογραφών που βασίζονται στο SHA-1, οι προειδοποιήσεις θα εμφανίζονται στο αρχείο καταγραφής.

Για το Fedora 39, οι πολιτικές θα είναι, σε προοπτική TLS:
ΚΛΗΡΟΝΟΜΙΑ
MAC: όλα τα HMAC με SHA1 ή υψηλότερο + όλα τα σύγχρονα MAC (Poly1305, κ.λπ.)
Καμπύλες: όλοι οι πρώτοι >= 255 bit (συμπεριλαμβανομένων των καμπυλών Bernstein)
Αλγόριθμοι υπογραφής: κατακερματισμός SHA-1 ή καλύτερος (χωρίς DSA)
Κρυπτογράφηση: όλα διαθέσιμα > κλειδί 112 bit, >= μπλοκ 128 bit (χωρίς RC4 ή 3DES)
Ανταλλαγή κλειδιών: ECDHE, RSA, DHE (χωρίς DHE-DSS)
Μέγεθος παραμέτρου DH: >=2048
Μέγεθος παραμέτρου RSA: >=2048
Πρωτόκολλα TLS: TLS >= 1.2

Μετά από αυτό, κατά την έκδοση προ-beta του Fedora Linux 38, το αποθετήριο θα έχει μια πολιτική έναντι των υπογραφών SHA-1, αλλά αυτή η αλλαγή δεν θα ισχύει για την έκδοση beta και την έκδοση του Fedora Linux 38. Με την κυκλοφορία του Fedora Linux 39, η πολιτική κατάργησης της υπογραφής SHA-1 θα εφαρμόζεται από προεπιλογή.

Το προτεινόμενο σχέδιο δεν έχει ακόμη αναθεωρηθεί από την FESCO (Fedora Engineering Steering Committee), η οποία είναι υπεύθυνη για το τεχνικό μέρος της ανάπτυξης της διανομής Fedora.

Επιπλέον, Αξίζει επίσης να προστεθεί ότι στο Red Hat έχει προειδοποιηθεί σχετικά με το τέλος της υποστήριξης για τη βιβλιοθήκη GTK 2, ξεκινώντας με τον επόμενο κλάδο του Red Hat Enterprise Linux.

Το πακέτο gtk2 δεν θα συμπεριληφθεί στην έκδοση RHEL 10, η οποία θα υποστηρίζει μόνο GTK 3 και GTK 4. Το GTK 2 καταργήθηκε λόγω της κατάργησης του συνόλου εργαλείων και της έλλειψης υποστήριξης για σύγχρονες τεχνολογίες όπως Wayland, HiDPI και HDR.

Η εργαλειοθήκη μας εξυπηρέτησε με ευγνωμοσύνη, αλλά αρχίζει να δείχνει την ηλικία της όσον αφορά τις σύγχρονες τεχνολογίες όπως η Wayland, οι οθόνες HiDPI, το HDR και άλλες.

Προγράμματα που παραμένουν δεσμευμένα στο GTK 2, όπως το GIMP και το Ardour, αναμένεται να έχουν χρόνο για μετεγκατάσταση σε νέα υποκαταστήματα GTK πριν από το 2025, το οποίο αναμένεται να κυκλοφορήσει το RHEL 10. Στο Ubuntu 22.04, 504 πακέτα χρησιμοποιούν το libgtk2 ως εξάρτηση.

Ο λόγος για να το αναφέρουμε αυτό είναι ότι μια τέτοια αλλαγή καταλήγει να εφαρμοστεί και σε ορισμένες από τις επόμενες εκδόσεις του Fedora.

Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με τη λίστα των αλλαγών που έχουν προγραμματιστεί για την απενεργοποίηση των υπογραφών, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο παρακάτω σύνδεσμο.


Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.