nemrég megjelent a hír a Fedora projekt fejlesztői, és ők tették ismertté terv az SHA-1 digitális aláírások támogatásának letiltására a "Fedora Linux 39" kiadásához.
Megemlítik, hogy az aláírások letiltásának terve magában foglalja az SHA-1 hash-t használó aláírásokba vetett bizalom megszüntetését (az SHA-224 lesz a minimális megengedett digitális aláírás). de a HMAC támogatásának megtartása az SHA-1 segítségével és lehetővé teszi a LEGACY profil engedélyezését az SHA-1 segítségével.
A fő ok, amiért a Fedora fejlesztői erre a következtetésre jutottak, az az, hogy az SHA-1 alapú aláírások támogatásának vége. az adott előtaggal végzett ütközési támadások hatékonyságának növekedéséből adódik (Az ütközés kiválasztásának költségét több tízezer dollárra becsülik). A böngészők mellett az SHA-1 algoritmussal hitelesített tanúsítványokat 2016 közepe óta nem biztonságosként jelölték meg.
A fő változás ezúttal az SHA-1 aláírások iránti bizalmatlanság lesz.
a kriptográfiai könyvtár szintjén, ami nemcsak a TLS-t érinti.Az OpenSSL alapértelmezés szerint blokkolja az aláírások létrehozását és ellenőrzését,
a várható csapadékkal, amely elegendő lesz
hogy a változást több cikluson keresztül hajtsuk végre
több értesítéssel
hogy a fejlesztőknek és a karbantartóknak legyen elég ideje reagálni.
Érdemes megemlíteni, hogy a leírt változtatások alkalmazása után az OpenSSL könyvtár alapértelmezés szerint blokkolja az aláírások generálását és ellenőrzését az SHA-1 segítségével.
A deaktiválást több szakaszban tervezik végrehajtani, A Fedora Linux 36-os és 37-es kiadásaihoz hasonlóan az SHA-1 alapú aláírások eltávolításra kerülnek a "FUTURE" házirendből, valamint tervezek egy teszt házirendet TEST-FEDORA39 letiltani az SHA-1 felhasználói kérésére (frissítés -crypto-policies - set TEST-FEDORA39), az SHA-1 alapú aláírások létrehozásakor és ellenőrzésekor figyelmeztetések jelennek meg a naplóban.
A Fedora 39 esetében a házirendek a TLS szempontjából a következők lesznek:
ÖRÖKSÉG
MAC: minden SHA1 vagy magasabb szintű HMAC + minden modern MAC (Poly1305 stb.)
Görbék: minden prím >= 255 bit (beleértve a Bernstein-görbéket is)
Aláírási algoritmusok: SHA-1 hash vagy jobb (nincs DSA)
Rejtjelek: minden elérhető > 112 bites kulcs, >= 128 bites blokk (nincs RC4 vagy 3DES)
Kulcscsere: ECDHE, RSA, DHE (DHE-DSS nélkül)
DH paraméter mérete: >=2048
RSA paraméter mérete: >=2048
TLS protokollok: TLS >= 1.2
Ezt követően a Fedora Linux 38 béta előtti kiadása során a tárháznak lesz egy szabályzata az SHA-1 aláírások ellen, de ez a változás nem vonatkozik a Fedora Linux 38 bétaverziójára és kiadására. A Fedora Linux 39 kiadásával alapértelmezés szerint az SHA-1 aláírás megszüntetési házirendje kerül alkalmazásra.
A javasolt tervet a FESCo még nem vizsgálta felül (Fedora Engineering Steering Committee), amely a Fedora disztribúció fejlesztésének technikai részéért felelős.
Sőt, Azt is érdemes hozzátenni, hogy a Red Hatben figyelmeztetést kapott a GTK 2 könyvtár támogatásának megszűnéséről, kezdve a Red Hat Enterprise Linux következő ágával.
A gtk2 csomag nem fog szerepelni az RHEL 10 kiadásban, amely csak a GTK 3-at és a GTK 4-et támogatja. A GTK 2-t eltávolítottuk az eszközkészlet elavulása és az olyan modern technológiák támogatásának hiánya miatt, mint a Wayland, a HiDPI és a HDR.
Az eszköztár hálásan szolgált minket, de kezd megmutatkozni a kora az olyan modern technológiák tekintetében, mint a Wayland, a HiDPI-kijelzők, a HDR és mások.
A GTK 2-höz kötött programoknak, mint például a GIMP és az Ardour, várhatóan 2025 előtt lesz idejük áttérni az új GTK-ágakra, amely várhatóan kiadja az RHEL 10-et. Az Ubuntu 22.04-ben az 504-es csomagok a libgtk2-t használják függőségként.
Ennek az az oka, hogy ezt a változtatást a Fedora néhány következő verziójában is végrehajtják.
Végül ha érdekel, hogy többet tudjon meg róla Az aláírások letiltásával kapcsolatos tervezett változtatások listájáról a részleteket a következő link.