Neseniai naujiena buvo paskelbta Fedora projekto kūrėjai ir būtent tai jie paskelbė planas išjungti SHA-1 skaitmeninių parašų palaikymą už „Fedora Linux 39“ išleidimą.
Minima, kad planas išjungti parašus reiškia, kad bus panaikintas pasitikėjimas parašais, kurie naudoja SHA-1 maišą (SHA-224 bus deklaruojamas kaip minimumas, leidžiamas skaitmeniniuose parašuose), bet palaiko HMAC su SHA-1 ir suteikia galimybę įgalinti LEGACY profilį naudojant SHA-1.
Pagrindinė priežastis, kodėl Fedora kūrėjai padarė tokią išvadą, yra ta, kad SHA-1 pagrįstų parašų palaikymo pabaiga yra dėl padidėjusio susidūrimo atakų su nurodytu priešdėliu efektyvumo (susidurimo pasirinkimo kaina vertinama kelias dešimtis tūkstančių dolerių). Be naršyklių, sertifikatai, autentifikuoti naudojant SHA-1 algoritmą, nuo 2016 m. vidurio buvo pažymėti kaip nesaugūs.
Pagrindinis pakeitimas šį kartą bus nepasitikėjimas SHA-1 parašais.
kriptografinės bibliotekos lygmeniu, turintis įtakos ne tik TLS.OpenSSL pradės blokuoti parašų kūrimą ir tikrinimą pagal numatytuosius nustatymus,
su numatomais krituliais, kurių pakaks
kad pokytį įgyvendintume keliais ciklais
su daugybe pranešimų
kad kūrėjams ir prižiūrėtojams būtų pakankamai laiko reaguoti.
Verta paminėti, kad pritaikius aprašytus pakeitimus, OpenSSL biblioteka pagal nutylėjimą blokuos parašų generavimą ir tikrinimą naudojant SHA-1.
Išjungimą planuojama atlikti keliais etapais, kaip ir Fedora Linux 36 ir 37 leidimuose, SHA-1 pagrįsti parašai bus pašalinti iš „ATEITIES“ politikos, be to, planuoju pateikti bandomąją politiką TEST-FEDORA39, kad vartotojo prašymu būtų išjungta SHA-1 (atnaujinti -kriptopolitiką – nustatyti TEST-FEDORA39), kuriant ir tikrinant SHA-1 pagrįstus parašus, žurnale bus rodomi įspėjimai.
„Fedora 39“ politika TLS požiūriu bus tokia:
Palikimas
MAC: visi HMAC su SHA1 arba naujesne + visi šiuolaikiniai MAC (Poly1305 ir kt.)
Kreivės: visi pirminiai >= 255 bitai (įskaitant Bernsteino kreives)
Parašo algoritmai: SHA-1 maiša arba geresnė (be DSA)
Šifrai: visi galimi > 112 bitų raktas, >= 128 bitų blokas (be RC4 arba 3DES)
Raktų keitimas: ECDHE, RSA, DHE (be DHE-DSS)
DH parametro dydis: >=2048
RSA parametro dydis: >=2048
TLS protokolai: TLS >= 1.2
Po to, kai buvo išleista Fedora Linux 38 išankstinė beta versija, saugykla turės politiką prieš SHA-1 parašus, tačiau šis pakeitimas nebus taikomas beta versijai ir Fedora Linux 38 leidimui. Išleidus Fedora Linux 39, SHA-1 parašo naudojimo nutraukimo politika bus taikoma pagal numatytuosius nustatymus.
Siūlomo plano FESCo dar neperžiūrėjo (Fedora Engineering Steering Committee), kuris yra atsakingas už techninę Fedora platinimo kūrimo dalį.
Be to, Taip pat verta pridurti, kad „Red Hat“. buvo įspėtas apie GTK 2 bibliotekos palaikymo pabaigą, pradedant nuo kitos Red Hat Enterprise Linux šakos.
Paketas gtk2 nebus įtrauktas į RHEL 10 leidimą, kuris palaikys tik GTK 3 ir GTK 4. GTK 2 buvo pašalintas, nes nebenaudojamas įrankių rinkinys ir nepalaikomos tokios modernios technologijos kaip Wayland, HiDPI ir HDR.
Įrankių rinkinys mums buvo dėkingas, tačiau jis pradeda rodyti savo amžių, atsižvelgiant į šiuolaikines technologijas, tokias kaip „Wayland“, „HiDPI“ ekranai, HDR ir kt.
Tikimasi, kad programos, kurios lieka susietos su GTK 2, pvz., GIMP ir Ardour, turės laiko pereiti į naujas GTK šakas iki 2025 m., kuri turėtų išleisti RHEL 10. Ubuntu 22.04 versijoje 504 paketai naudoja libgtk2 kaip priklausomybę.
Tai paminėjimo priežastis yra ta, kad toks pakeitimas taip pat bus įgyvendintas kai kuriose kitose „Fedora“ versijose.
Pagaliau jei norite sužinoti daugiau apie tai Apie planuojamų parašų išjungimo pakeitimų sąrašą galite peržiūrėti išsamią informaciją sekanti nuoroda.