Récemment la nouvelle est sortie par les développeurs du projet Fedora et c'est qu'ils ont fait connaître un plan pour désactiver la prise en charge des signatures numériques SHA-1 pour la sortie de "Fedora Linux 39".
Il est mentionné que le plan de désactivation des signatures implique l'élimination de la confiance dans les signatures qui utilisent des hachages SHA-1 (SHA-224 sera déclaré comme le minimum autorisé dans les signatures numériques), mais en gardant le support pour HMAC avec SHA-1 et fournir la possibilité d'activer le profil LEGACY avec SHA-1.
La principale raison pour laquelle les développeurs de Fedora sont arrivés à cette conclusion est que la fin du support des signatures basées sur SHA-1 est dû à une augmentation de l'efficacité des attaques par collision avec un préfixe donné (le coût du choix d'une collision est estimé à plusieurs dizaines de milliers de dollars). En plus de cela dans les navigateurs, les certificats authentifiés à l'aide de l'algorithme SHA-1 sont marqués comme non sécurisés depuis mi-2016.
Le principal changement cette fois sera de se méfier des signatures SHA-1.
au niveau de la bibliothèque cryptographique, affectant plus que TLS.OpenSSL commencera à bloquer la création et la vérification des signatures par défaut,
avec les précipitations prévues qui seront suffisamment abondantes
pour nous de mettre en œuvre le changement à travers plusieurs cycles
avec plusieurs avis
pour donner aux développeurs et aux mainteneurs suffisamment de temps pour réagir.
Il convient de mentionner qu'après avoir appliqué les modifications décrites, la bibliothèque OpenSSL bloquera par défaut la génération et la vérification des signatures avec SHA-1.
La désactivation est prévue en plusieurs étapes, comme dans les versions 36 et 37 de Fedora Linux, les signatures basées sur SHA-1 seront supprimées de la politique "FUTURE", et je prévois de fournir une politique de test TEST-FEDORA39 pour désactiver SHA-1 à la demande de l'utilisateur (mise à jour -crypto-policies - set TEST-FEDORA39), lors de la création et de la vérification des signatures basées sur SHA-1, des avertissements seront affichés dans le journal.
Pour Fedora 39, les politiques seront, dans la perspective TLS :
HÉRITAGE
MAC : tous les HMAC avec SHA1 ou supérieur + tous les MAC modernes (Poly1305, etc.)
Courbes : tous nombres premiers >= 255 bits (y compris les courbes de Bernstein)
Algorithmes de signature : hachage SHA-1 ou supérieur (pas de DSA)
Chiffrements : tous disponibles > clé 112 bits, >= bloc 128 bits (pas de RC4 ou 3DES)
Échange de clés : ECDHE, RSA, DHE (sans DHE-DSS)
Taille du paramètre DH : > = 2048
Taille du paramètre RSA : > = 2048 XNUMX
Protocoles TLS : TLS >= 1.2
Après cela, lors de la version pré-bêta de Fedora Linux 38, le référentiel aura une politique contre les signatures SHA-1, mais ce changement ne s'appliquera pas à la version bêta et à la version de Fedora Linux 38. Avec la sortie de Fedora Linux 39, la politique d'obsolescence des signatures SHA-1 sera appliquée par défaut.
Le plan proposé n'a pas encore été examiné par FESCo (Fedora Engineering Steering Committee), qui est responsable de la partie technique du développement de la distribution Fedora.
En outre, Il convient également d'ajouter que dans Red Hat a été prévenu à propos de la fin du support de la bibliothèque GTK 2, en commençant par la branche suivante de Red Hat Enterprise Linux.
Le package gtk2 ne sera pas inclus dans la version RHEL 10, qui ne prendra en charge que GTK 3 et GTK 4. GTK 2 a été supprimé en raison de la dépréciation de l'ensemble d'outils et du manque de prise en charge des technologies modernes telles que Wayland, HiDPI et HDR.
La boîte à outils nous a servi avec gratitude, mais elle commence à montrer son âge en ce qui concerne les technologies modernes comme Wayland, les écrans HiDPI, HDR et autres.
Les programmes qui restent liés à GTK 2, tels que GIMP et Ardour, devraient avoir le temps de migrer vers de nouvelles branches GTK avant 2025, qui devrait publier RHEL 10. Dans Ubuntu 22.04, les packages 504 utilisent libgtk2 comme dépendance.
La raison de mentionner cela est qu'un tel changement finit également par être implémenté dans certaines des prochaines versions de Fedora.
Enfin si vous souhaitez en savoir plus sur la liste des changements qui sont prévus sur la désactivation des signatures, vous pouvez consulter les détails dans le lien suivant