äskettäin uutinen julkaistiin Fedora-projektin kehittäjät, ja he tekivät sen tunnetuksi suunnitelma digitaalisten SHA-1-allekirjoitusten tuen poistamiseksi käytöstä "Fedora Linux 39" -version julkaisua varten.
Sanotaan, että suunnitelma allekirjoitusten poistamiseksi käytöstä merkitsee luottamuksen poistamista SHA-1-tiivistettä käyttäviin allekirjoituksiin (SHA-224 ilmoitetaan vähimmäismääräksi digitaalisissa allekirjoituksissa), mutta säilyttää tuki HMAC:lle SHA-1:llä ja tarjoaa mahdollisuuden ottaa käyttöön LEGACY-profiili SHA-1:n avulla.
Pääsyy, miksi Fedora-kehittäjät ovat tulleet tähän johtopäätökseen, on SHA-1-pohjaisten allekirjoitusten tuen loppuminen. johtuu törmäyshyökkäysten tehokkuuden lisääntymisestä tietyllä etuliitteellä (törmäyksen valinnan kustannusten arvioidaan olevan useita kymmeniä tuhansia dollareita). Selaimien lisäksi SHA-1-algoritmilla todennettuja varmenteita on merkitty suojaamattomiksi vuoden 2016 puolivälistä lähtien.
Suurin muutos tällä kertaa on epäluottamus SHA-1-allekirjoituksiin.
salauskirjastotasolla, mikä vaikuttaa muuhunkin kuin vain TLS:ään.OpenSSL alkaa oletusarvoisesti estää allekirjoitusten luomisen ja tarkistamisen,
odotetulla sademäärällä, jota on riittävästi
jotta voimme toteuttaa muutoksen useiden syklien kautta
useilla ilmoituksilla
jotta kehittäjille ja ylläpitäjille jää riittävästi aikaa reagoida.
On syytä mainita, että kuvattujen muutosten käyttöönoton jälkeen OpenSSL-kirjasto estää oletusarvoisesti allekirjoitusten luomisen ja tarkistamisen SHA-1:llä.
Deaktivointi on suunniteltu tapahtuvaksi useassa vaiheessa, Kuten Fedora Linux 36- ja 37 -julkaisuissa, SHA-1-pohjaiset allekirjoitukset poistetaan "FUTURE"-käytännöstä, ja aion tarjota testikäytännön TEST-FEDORA39 SHA-1:n poistamiseksi käytöstä käyttäjän pyynnöstä (päivitä salauskäytännöt - set TEST-FEDORA39), varoituksia näytetään lokissa, kun luot ja vahvistat SHA-1-pohjaisia allekirjoituksia.
Fedora 39:n käytännöt ovat TLS-näkökulmasta:
PERINNÄ
MAC: kaikki HMAC:t, joissa on SHA1 tai uudempi + kaikki nykyaikaiset MAC:t (Poly1305 jne.)
Käyrät: kaikki alkuluvut >= 255 bittiä (mukaan lukien Bernsteinin käyrät)
Allekirjoitusalgoritmit: SHA-1 hash tai parempi (ei DSA:ta)
Salaukset: kaikki saatavilla > 112-bittinen avain, >= 128-bittinen lohko (ei RC4:ää tai 3DES:ää)
Avaimen vaihto: ECDHE, RSA, DHE (ilman DHE-DSS:ää)
DH-parametrin koko: >=2048
RSA-parametrin koko: >=2048
TLS-protokollat: TLS >= 1.2
Sen jälkeen Fedora Linux 38:n esibetaversion aikana arkistolla on käytäntö SHA-1-allekirjoituksia vastaan, mutta tämä muutos ei koske Fedora Linux 38:n betaversiota ja julkaisua. Fedora Linux 39:n julkaisun myötä SHA-1-allekirjoituksen poistokäytäntöä sovelletaan oletuksena.
FESCo ei ole vielä tarkistanut ehdotettua suunnitelmaa (Fedora Engineering Steering Committee), joka vastaa Fedora-jakelun kehityksen teknisestä osasta.
Lisäksi, Se kannattaa myös lisätä Red Hatiin on varoitettu GTK 2 -kirjaston tuen päättymisestä, alkaen Red Hat Enterprise Linuxin seuraavasta haarasta.
Gtk2-paketti ei sisälly RHEL 10 -julkaisuun, joka tukee vain GTK 3:a ja GTK 4:ää. GTK 2 poistettiin työkalusarjan vanhenemisen ja nykyaikaisten tekniikoiden, kuten Waylandin, HiDPI:n ja HDR:n, tuen puutteen vuoksi.
Työkalupakki palveli meitä kiitollisena, mutta se alkaa näyttää ikänsä moderneissa teknologioissa, kuten Wayland, HiDPI-näytöt, HDR ja muut.
GTK 2:een sidottujen ohjelmien, kuten GIMP ja Ardour, odotetaan ehtivän siirtyä uusiin GTK-haaroihin ennen vuotta 2025, jonka odotetaan julkaisevan RHEL 10:n. Ubuntu 22.04:ssä 504-paketit käyttävät libgtk2:ta riippuvuutena.
Syy tämän mainitsemiseen on se, että tällainen muutos päätyy toteutettua myös joissakin Fedoran seuraavissa versioissa.
Vihdoin jos olet kiinnostunut tietämään siitä lisää Allekirjoitusten poistamiseen suunnitelluista muutoksista saat lisätietoja kohdasta seuraava linkki.