Жақында жаңалық шықты Fedora жобасын әзірлеушілер және олар белгілі болды SHA-1 цифрлық қолтаңбасын қолдауды өшіру жоспары «Fedora Linux 39» шығарылымы үшін.
Қолтаңбаларды өшіру жоспары SHA-1 хэштерін пайдаланатын қолтаңбаларға деген сенімді жоюды көздейтіні айтылған (SHA-224 цифрлық қолтаңбада рұқсат етілген ең аз деп жарияланады), бірақ SHA-1 бар HMAC қолдауын сақтау және SHA-1 көмегімен LEGACY профилін қосу мүмкіндігін қамтамасыз ету.
Fedora әзірлеушілерінің осындай қорытындыға келуінің басты себебі - SHA-1 негізіндегі қолтаңбаларды қолдаудың аяқталуы. берілген префикспен соқтығысқан шабуылдардың тиімділігінің артуына байланысты (соқтығысты таңдау құны бірнеше ондаған мың долларға бағаланады). Бұған қоса, браузерлерде SHA-1 алгоритмі арқылы аутентификацияланған сертификаттар 2016 жылдың ортасынан бастап қауіпсіз емес деп белгіленді.
Бұл жолғы басты өзгеріс SHA-1 қолтаңбаларына сенімсіздік таныту болады.
криптографиялық кітапхана деңгейінде TLS ғана емес әсер етеді.OpenSSL әдепкі бойынша қолтаңбаларды жасауды және тексеруді блоктай бастайды,
күтілетін жауын-шашынмен бірге жеткілікті мөлшерде болады
өзгертуді бірнеше циклдар арқылы жүзеге асыру үшін
бірнеше ескертулермен
әзірлеушілер мен қолдаушыларға әрекет ету үшін жеткілікті уақыт беру.
Айта кету керек, сипатталған өзгерістерді қолданғаннан кейін OpenSSL кітапханасы әдепкі бойынша SHA-1 көмегімен қолтаңбаларды жасауды және тексеруді блоктайды.
Деактивацияны бірнеше кезеңде жүзеге асыру жоспарлануда, Fedora Linux 36 және 37 шығарылымдарындағы сияқты, SHA-1 негізіндегі қолтаңбалар «БОЛАШАҚ» саясатынан жойылады, сонымен қатар мен пайдаланушы сұрауы бойынша SHA-39-ді өшіру үшін TEST-FEDORA1 сынақ саясатын ұсынуды жоспарлап отырмын (жаңарту -crypto-policies – TEST-FEDORA39 орнатыңыз), SHA-1 негізіндегі қолтаңбаларды жасау және тексеру кезінде журналда ескертулер көрсетіледі.
Fedora 39 үшін саясаттар TLS перспективасында болады:
ЛЕГАСИЯ
MAC: SHA1 немесе одан жоғары барлық HMAC құрылғылары + барлық заманауи MAC (Poly1305, т.б.)
Қисықтар: барлық жай сандар >= 255 бит (Бернштейн қисықтарын қоса)
Қолтаңба алгоритмдері: SHA-1 хэш немесе жақсырақ (DSA жоқ)
Шифрлар: барлығы қол жетімді > 112-биттік кілт, >= 128-биттік блок (RC4 немесе 3DES жоқ)
Кілт алмасу: ECDHE, RSA, DHE (DHE-DSS жоқ)
DH параметр өлшемі: >=2048
RSA параметрінің өлшемі: >=2048
TLS протоколдары: TLS >= 1.2
Осыдан кейін, Fedora Linux 38 бета алдындағы шығарылымы кезінде репозиторийде SHA-1 қолтаңбаларына қарсы саясат болады, бірақ бұл өзгеріс Fedora Linux 38 бета нұсқасына және шығарылымына қолданылмайды. Fedora Linux 39 шығарылымымен, SHA-1 қолтаңбасының ескіру саясаты әдепкі бойынша қолданылады.
Ұсынылған жоспар әлі FESCO тарапынан қаралған жоқ (Fedora инженерлік басқару комитеті), ол Fedora дистрибутивін әзірлеудің техникалық бөлігіне жауап береді.
Екінші жағынан, Сондай-ақ, Red Hat-те оны қосу керек ескертілді GTK 2 кітапханасын қолдаудың аяқталуы туралы, Red Hat Enterprise Linux-тың келесі филиалынан бастап.
Gtk2 бумасы тек GTK 10 және GTK 3-ке қолдау көрсететін RHEL 4 шығарылымына қосылмайды. GTK 2 құралдар жинағының ескіруіне және Wayland, HiDPI және HDR сияқты заманауи технологияларға қолдау көрсетілмегендіктен жойылды.
Құралдар жинағы бізге ризашылықпен қызмет етті, бірақ ол Wayland, HiDPI дисплейлері, HDR және т.б. сияқты заманауи технологияларға қатысты өзінің жасын көрсете бастады.
GIMP және Ardour сияқты GTK 2-ге байланысты болып қалатын бағдарламалардың 2025 жылға дейін жаңа GTK бөлімшелеріне көшуге уақыты болады деп күтілуде, бұл RHEL 10-ны шығарады деп күтілуде. Ubuntu 22.04-те 504 бума libgtk2-ді тәуелділік ретінде пайдаланады.
Бұл туралы айтудың себебі, мұндай өзгеріс Fedora-ның кейбір келесі нұсқаларында да жүзеге асырылады.
Finalmente егер сіз бұл туралы көбірек білгіңіз келсе Қолтаңбаларды өшіру бойынша жоспарланған өзгерістер тізімі туралы мәліметтерді мына жерден қарауға болады келесі сілтеме.
Бірінші болып пікір айтыңыз