nedavno vijest je objavljena od strane programera projekta Fedora i to je da su oni dali do znanja plan za onemogućavanje podrške za SHA-1 digitalne potpise za izdanje "Fedora Linux 39".
Napominje se da plan onemogućavanja potpisa podrazumijeva eliminaciju povjerenja u potpise koji koriste SHA-1 hashove (SHA-224 bit će deklariran kao minimum dopušten u digitalnim potpisima), ali zadržava podršku za HMAC sa SHA-1 i pružanje mogućnosti omogućavanja LEGACY profila sa SHA-1.
Glavni razlog zašto su Fedora programeri došli do ovog zaključka je kraj podrške za potpise temeljene na SHA-1 je zbog povećanja učinkovitosti napada sudara s danim prefiksom (trošak odabira sudara procjenjuje se na nekoliko desetaka tisuća dolara). Osim toga u preglednicima, certifikati autentificirani pomoću SHA-1 algoritma označeni su kao nesigurni od sredine 2016. godine.
Glavna promjena ovoga puta bit će nepovjerenje SHA-1 potpisima.
na razini kriptografske knjižnice, što utječe na više od samog TLS-a.OpenSSL će prema zadanim postavkama početi blokirati stvaranje i provjeru potpisa,
uz predviđenu količinu oborina koje će biti dovoljno
kako bismo mogli provesti promjenu kroz više ciklusa
s više obavijesti
kako bi programeri i održavatelji imali dovoljno vremena za reakciju.
Vrijedno je spomenuti da će nakon primjene opisanih promjena OpenSSL biblioteka prema zadanim postavkama blokirati generiranje i provjeru potpisa pomoću SHA-1.
Deaktivacija se planira provesti u nekoliko faza, kao iu izdanjima Fedora Linux 36 i 37, potpisi temeljeni na SHA-1 bit će uklonjeni iz pravila "BUDUĆNOSTI", plus planiram osigurati testno pravilo TEST-FEDORA39 za onemogućavanje SHA-1 na zahtjev korisnika (ažuriranje -crypto-policies – postavite TEST-FEDORA39), prilikom stvaranja i provjere potpisa temeljenih na SHA-1, upozorenja će biti prikazana u dnevniku.
Za Fedoru 39, pravila će biti, u TLS perspektivi:
OSTAVINA
MAC: svi HMAC-ovi sa SHA1 ili višim + svi moderni MAC-ovi (Poly1305, itd.)
Krivulje: svi prosti brojevi >= 255 bita (uključujući Bernsteinove krivulje)
Algoritmi potpisa: SHA-1 hash ili bolji (bez DSA)
Šifre: sve dostupne > 112-bitni ključ, >= 128-bitni blok (bez RC4 ili 3DES)
Razmjena ključeva: ECDHE, RSA, DHE (bez DHE-DSS)
Veličina parametra DH: >=2048
Veličina RSA parametra: >=2048
TLS protokoli: TLS >= 1.2
Nakon toga, tijekom pre-beta izdanja Fedora Linux 38, spremište će imati politiku protiv SHA-1 potpisa, ali ova promjena neće se primjenjivati na beta verziju i izdanje Fedora Linux 38. S izdanjem Fedora Linux 39, prema zadanim postavkama primjenjivat će se politika odbacivanja potpisa SHA-1.
FESCo još nije pregledao predloženi plan (Fedora Engineering Steering Committee), koji je odgovoran za tehnički dio razvoja Fedora distribucije.
Štoviše, Također vrijedi dodati da u Red Hatu je upozoren o kraju podrške za biblioteku GTK 2, počevši sa sljedećom granom Red Hat Enterprise Linuxa.
Paket gtk2 neće biti uključen u izdanje RHEL 10, koje će podržavati samo GTK 3 i GTK 4. GTK 2 je uklonjen zbog zastarjevanja skupa alata i nedostatka podrške za moderne tehnologije kao što su Wayland, HiDPI i HDR.
Alat nam je služio sa zahvalnošću, ali počinje pokazivati svoju starost u odnosu na moderne tehnologije poput Waylanda, HiDPI zaslona, HDR-a i drugih.
Očekuje se da će programi koji ostaju vezani za GTK 2, kao što su GIMP i Ardour, imati vremena za migraciju na nove GTK grane prije 2025. godine, za koje se očekuje da će izdati RHEL 10. U Ubuntu 22.04, 504 paketa koriste libgtk2 kao ovisnost.
Razlog za ovo spominjanje je taj što se takva promjena također implementira u neke od sljedećih verzija Fedore.
Konačno ako vas zanima više o tome o popisu promjena koje se planiraju na onemogućavanju potpisa možete pogledati detalje u sljedeći link.