recentemente la notizia è stata diffusa dagli sviluppatori del progetto Fedora ed è quello che hanno reso noto un piano per disabilitare il supporto per le firme digitali SHA-1 per il rilascio di "Fedora Linux 39".
Si afferma che il piano per disabilitare le firme implica l'eliminazione della fiducia nelle firme che utilizzano hash SHA-1 (SHA-224 sarà dichiarato come il minimo consentito nelle firme digitali), ma mantenendo il supporto per HMAC con SHA-1 e fornendo la possibilità di abilitare il profilo LEGACY con SHA-1.
Il motivo principale per cui gli sviluppatori Fedora sono giunti a questa conclusione è che la fine del supporto per le firme basate su SHA-1 è dovuto a un aumento dell'efficienza degli attacchi di collisione con un determinato prefisso (il costo della scelta di una collisione è stimato in diverse decine di migliaia di dollari). Oltre a quello nei browser, i certificati autenticati utilizzando l'algoritmo SHA-1 sono stati contrassegnati come non sicuri dalla metà del 2016.
Il cambiamento principale questa volta sarà diffidare delle firme SHA-1.
a livello di libreria crittografica, interessando più del semplice TLS.OpenSSL inizierà a bloccare la creazione e la verifica delle firme per impostazione predefinita,
con le precipitazioni previste che saranno abbastanza abbondanti
per noi per implementare il cambiamento attraverso più cicli
con più avvisi
per dare a sviluppatori e manutentori abbastanza tempo per reagire.
Vale la pena ricordare che dopo aver applicato le modifiche descritte, la libreria OpenSSL bloccherà per impostazione predefinita la generazione e la verifica delle firme con SHA-1.
La disattivazione è prevista in più fasi, come nelle versioni Fedora Linux 36 e 37, le firme basate su SHA-1 verranno rimosse dalla politica "FUTURO", inoltre ho intenzione di fornire una politica di test TEST-FEDORA39 per disabilitare SHA-1 su richiesta dell'utente (aggiornamento -crypto-policies - set TEST-FEDORA39), durante la creazione e la verifica delle firme basate su SHA-1, gli avvisi verranno visualizzati nel registro.
Per Fedora 39, le politiche saranno, in prospettiva TLS:
EREDITÀ
MAC: tutti gli HMAC con SHA1 o superiore + tutti i moderni MAC (Poly1305, ecc.)
Curve: tutti i numeri primi >= 255 bit (incluse le curve di Bernstein)
Algoritmi di firma: hash SHA-1 o migliore (senza DSA)
Cifra: tutte disponibili > chiave a 112 bit, >= blocco a 128 bit (no RC4 o 3DES)
Scambio chiavi: ECDHE, RSA, DHE (senza DHE-DSS)
Dimensione parametro DH: >=2048
Dimensione parametro RSA: >=2048
Protocolli TLS: TLS >= 1.2
Successivamente, durante il rilascio pre-beta di Fedora Linux 38, il repository avrà una politica contro le firme SHA-1, ma questa modifica non si applicherà alla versione beta e al rilascio di Fedora Linux 38. Con il rilascio di Fedora Linux 39, la politica di ritiro della firma SHA-1 verrà applicata per impostazione predefinita.
Il piano proposto non è stato ancora esaminato da FESCo (Fedora Engineering Steering Committee), che è responsabile della parte tecnica dello sviluppo della distribuzione Fedora.
Inoltre, Vale anche la pena aggiungerlo in Red Hat è stato avvertito circa la fine del supporto per la libreria GTK 2, a partire dal ramo successivo di Red Hat Enterprise Linux.
Il pacchetto gtk2 non sarà incluso nella versione RHEL 10, che supporterà solo GTK 3 e GTK 4. GTK 2 è stato rimosso a causa della deprecazione del set di strumenti e della mancanza di supporto per tecnologie moderne come Wayland, HiDPI e HDR.
Il toolkit ci è servito con gratitudine, ma sta iniziando a mostrare la sua età per quanto riguarda le moderne tecnologie come Wayland, display HiDPI, HDR e altri.
I programmi che rimangono legati a GTK 2, come GIMP e Ardour, dovrebbero avere il tempo di migrare ai nuovi rami GTK prima del 2025, che dovrebbe rilasciare RHEL 10. In Ubuntu 22.04, 504 pacchetti usano libgtk2 come dipendenza.
Il motivo per menzionarlo è che tale cambiamento finisce per essere implementato anche in alcune delle prossime versioni di Fedora.
Infine se sei interessato a saperne di più sull'elenco delle modifiche previste per la disabilitazione delle firme, è possibile consultare i dettagli nel seguente link