Fedora 39에서는 SHA-1 서명 지원을 비활성화할 계획입니다. 

Darkcrizt

4 분

최근에 뉴스가 발표되었다 Fedora 프로젝트의 개발자들에 의해 SHA-1 디지털 서명 지원 비활성화 계획 "Fedora Linux 39"의 출시를 위해.

서명을 비활성화하는 계획은 SHA-1 해시를 사용하는 서명에 대한 신뢰를 제거하는 것을 의미합니다(SHA-224는 디지털 서명에서 허용되는 최소값으로 선언됨). 그러나 SHA-1을 사용하여 HMAC에 대한 지원 유지 SHA-1과 함께 LEGACY 프로필을 활성화하는 기능을 제공합니다.

Fedora 개발자들이 이러한 결론에 도달한 주된 이유는 SHA-1 기반 서명에 대한 지원이 종료되기 때문입니다. 주어진 접두어를 사용하는 충돌 공격의 효율성이 증가하기 때문입니다. (충돌 선택 비용은 수만 달러로 추산됩니다.) 브라우저 외에도 SHA-1 알고리즘을 사용하여 인증된 인증서는 2016년 중반부터 안전하지 않은 것으로 표시되었습니다.

이번 주요 변경 사항은 SHA-1 서명을 불신하는 것입니다.
암호화 라이브러리 수준에서 TLS 이상에 영향을 미칩니다.

OpenSSL은 기본적으로 서명 생성 및 확인을 차단하기 시작합니다.
충분히 충분할 것으로 예상되는 강수량과 함께
여러 주기를 통해 변경 사항을 구현하려면
여러 통지와 함께
개발자와 유지 관리자에게 대응할 충분한 시간을 제공합니다.

설명된 변경 사항을 적용한 후 OpenSSL 라이브러리는 기본적으로 SHA-1을 사용한 서명 생성 및 확인을 차단합니다.

비활성화는 여러 단계로 수행될 예정이며, Fedora Linux 36 및 37 릴리스에서와 같이 SHA-1 기반 서명은 "FUTURE" 정책에서 제거되며, 사용자 요청에 따라 SHA-39을 비활성화하는 테스트 정책 TEST-FEDORA1를 제공할 계획입니다(update -crypto-policies – set TEST-FEDORA39), SHA-1 기반 서명을 생성하고 확인할 때 로그에 경고가 표시됩니다.

Fedora 39의 경우 정책은 TLS 관점에서 다음과 같습니다.
유산
MAC: SHA1 이상의 모든 HMAC + 모든 최신 MAC(Poly1305 등)
곡선: 모든 소수 >= 255비트(Bernstein 곡선 포함)
서명 알고리즘: SHA-1 해시 이상(DSA 없음)
암호: 모두 사용 가능 > 112비트 키, >= 128비트 블록(RC4 또는 3DES 없음)
키 교환: ECDHE, RSA, DHE(DHE-DSS 제외)
DH 매개변수 크기: >=2048
RSA 매개변수 크기: >=2048
TLS 프로토콜: TLS >= 1.2

그 후, Fedora Linux 38의 사전 베타 릴리스 동안 저장소에는 SHA-1 서명에 대한 정책이 있지만 이 변경 사항은 Fedora Linux 38의 베타 및 릴리스에는 적용되지 않습니다. Fedora Linux 39 릴리스와 함께, 기본적으로 SHA-1 서명 사용 중단 정책이 적용됩니다.

제안된 계획은 아직 FESCo에 의해 검토되지 않았습니다. (Fedora 엔지니어링 운영 위원회), Fedora 배포판 개발의 기술적인 부분을 담당합니다.

또한, 또한 Red Hat에 추가할 가치가 있습니다. 경고를 받았다 GTK 2 라이브러리 지원 종료에 대해, Red Hat Enterprise Linux의 다음 분기부터 시작됩니다.

gtk2 패키지는 GTK 10 및 GTK 3만 지원하는 RHEL 4 릴리스에 포함되지 않습니다. GTK 2는 도구 세트의 사용 중단과 Wayland, HiDPI 및 HDR과 같은 최신 기술에 대한 지원 부족으로 인해 제거되었습니다.

이 툴킷은 우리에게 감사하게도 도움이 되었지만 Wayland, HiDPI 디스플레이, HDR 등과 같은 현대 기술과 관련하여 그 시대를 보여주기 시작했습니다.

GIMP 및 Ardour와 같이 GTK 2에 바인딩된 상태로 남아 있는 프로그램은 RHEL 2025을 출시할 예정인 10년 이전에 새로운 GTK 분기로 마이그레이션할 시간이 있을 것으로 예상됩니다. Ubuntu 22.04에서 504 패키지는 libgtk2를 종속성으로 사용합니다.

이것을 언급하는 이유는 이러한 변경이 Fedora의 다음 버전 중 일부에서도 구현되기 때문입니다.

최종적으로 그것에 대해 더 많이 알고 싶다면 서명 비활성화에 대해 계획된 변경 목록에 대한 자세한 내용은 다음 링크.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.