Hiljuti uudis avaldati Fedora projekti arendajad ja just nemad sellest teada andsid plaan keelata SHA-1 digitaalallkirjade tugi "Fedora Linux 39" väljalaskmiseks.
Mainitakse, et allkirjade keelamise plaan tähendab usalduse kaotamist SHA-1 räsi kasutavate allkirjade vastu (SHA-224 deklareeritakse digitaalallkirjades lubatud miinimumiks), kuid HMAC-i toe säilitamine SHA-1-ga ja pakkudes võimalust lubada SHA-1-ga LEGACY profiil.
Peamine põhjus, miks Fedora arendajad sellisele järeldusele on jõudnud, on see, et SHA-1-põhiste signatuuride tugi on lõppenud on tingitud etteantud eesliitega kokkupõrkerünnakute efektiivsuse suurenemisest (kokkupõrke valimise maksumus on hinnanguliselt mitukümmend tuhat dollarit). Lisaks brauseritele on SHA-1 algoritmi abil autentitud sertifikaadid alates 2016. aasta keskpaigast märgitud mitteturvaliseks.
Peamine muudatus on seekord SHA-1 allkirjade umbusaldamine.
krüptoteegi tasemel, mõjutades enamat kui ainult TLS-i.OpenSSL hakkab vaikimisi blokeerima allkirjade loomist ja kontrollimist,
oodatavate sademetega, mida on piisavalt
et saaksime muudatuse ellu viia mitme tsükli kaudu
mitmete märguannetega
et anda arendajatele ja hooldajatele piisavalt aega reageerimiseks.
Tasub mainida, et pärast kirjeldatud muudatuste rakendamist blokeerib OpenSSL-i teek vaikimisi allkirjade genereerimise ja kontrollimise SHA-1 abil.
Deaktiveerimine on kavas läbi viia mitmes etapis, Nagu Fedora Linuxi 36 ja 37 väljaannetes, eemaldatakse SHA-1-põhised allkirjad poliitikast "TULEVIK" ning ma kavatsen esitada testpoliitika TEST-FEDORA39, et SHA-1 kasutaja nõudmisel keelata (värskenda -krüptopoliitikat - set TEST-FEDORA39), SHA-1-põhiste allkirjade loomisel ja kontrollimisel kuvatakse logis hoiatused.
Fedora 39 puhul on eeskirjad TLS-i vaatenurgast järgmised:
Pärand
MAC: kõik HMAC-id, millel on SHA1 või kõrgem, + kõik kaasaegsed MAC-id (Poly1305 jne)
Kõverad: kõik algarvud >= 255 bitti (kaasa arvatud Bernsteini kõverad)
Allkirja algoritmid: SHA-1 räsi või parem (DSA puudub)
Šifrid: kõik saadaval > 112-bitine võti, >= 128-bitine plokk (pole RC4 ega 3DES)
Võtmevahetus: ECDHE, RSA, DHE (ilma DHE-DSS-ita)
DH parameetri suurus: >=2048
RSA parameetri suurus: >=2048
TLS-i protokollid: TLS >= 1.2
Pärast seda, Fedora Linux 38 beetaeelse väljalaske ajal, on hoidlal SHA-1 allkirjade vastane poliitika, kuid see muudatus ei kehti Fedora Linux 38 beetaversiooni ja väljalaske kohta. Fedora Linux 39 väljalaskmisega vaikimisi rakendatakse SHA-1 allkirja aegumise poliitikat.
FESCo ei ole kavandatavat plaani veel läbi vaadanud (Fedora Engineering Steering Committee), mis vastutab Fedora distributsiooni arendamise tehnilise osa eest.
Lisaks Tasub ka lisada, et Red Hatis on hoiatatud GTK 2 raamatukogu toe lõppemise kohta, alustades Red Hat Enterprise Linuxi järgmise haruga.
Paketti gtk2 ei kaasata RHEL 10 väljalasesse, mis toetab ainult GTK 3 ja GTK 4. GTK 2 eemaldati tööriistakomplekti aegumise ja kaasaegsete tehnoloogiate, nagu Wayland, HiDPI ja HDR, toe puudumise tõttu.
Tööriistakomplekt teenis meid tänulikult, kuid see on hakanud näitama oma vanust seoses kaasaegsete tehnoloogiatega, nagu Wayland, HiDPI-ekraanid, HDR ja teised.
Programmidel, mis jäävad GTK 2-ga seotuks, nagu GIMP ja Ardour, on eeldatavasti aega enne 2025. aastat uutele GTK filiaalidele migreeruda, mis peaks avaldama RHEL 10. Ubuntu versioonis 22.04 kasutavad 504 paketid sõltuvusena libgtk2.
Selle mainimise põhjus on see, et selline muudatus rakendatakse ka mõnes järgmises Fedora versioonis.
Lõpuks kui olete huvitatud sellest rohkem teada saama Allkirjade keelamisel kavandatavate muudatuste loendi kohta leiate üksikasju jaotisest järgmine link.