In Fedora 39 zijn ze van plan om ondersteuning voor SHA-1 handtekeningen uit te schakelen 

onlangs het nieuws is vrijgegeven door de ontwikkelaars van het Fedora-project en het is dat ze bekend hebben gemaakt een plan om ondersteuning voor SHA-1 digitale handtekeningen uit te schakelen voor de release van "Fedora Linux 39".

Er wordt vermeld dat het plan om handtekeningen uit te schakelen inhoudt dat het vertrouwen in handtekeningen die SHA-1-hashes gebruiken, wordt geëlimineerd (SHA-224 wordt verklaard als het minimum dat is toegestaan ​​in digitale handtekeningen), maar ondersteuning voor HMAC behouden met SHA-1 en de mogelijkheid bieden om het LEGACY-profiel met SHA-1 in te schakelen.

De belangrijkste reden waarom de Fedora-ontwikkelaars tot deze conclusie zijn gekomen, is dat het einde van de ondersteuning voor op SHA-1 gebaseerde handtekeningen is te wijten aan een toename van de efficiëntie van botsingsaanvallen met een bepaald voorvoegsel (de kosten van het kiezen van een botsing worden geschat op enkele tienduizenden dollars). Naast dat in browsers, zijn certificaten die zijn geverifieerd met behulp van het SHA-1-algoritme sinds medio 2016 gemarkeerd als niet veilig.

De belangrijkste verandering deze keer is het wantrouwen van SHA-1-handtekeningen.
op het niveau van de cryptografische bibliotheek, die meer dan alleen TLS beïnvloedt.

OpenSSL blokkeert standaard het aanmaken en verifiëren van handtekeningen,
met de verwachte neerslag zal dat ruim voldoende zijn
voor ons om de verandering door meerdere cycli te implementeren
met meerdere mededelingen
om ontwikkelaars en beheerders voldoende tijd te geven om te reageren.

Het is vermeldenswaard dat na het toepassen van de beschreven wijzigingen de OpenSSL-bibliotheek standaard het genereren en verifiëren van handtekeningen met SHA-1 blokkeert.

Deactivering is gepland om in verschillende fasen te worden uitgevoerd, net als in Fedora Linux 36 en 37 releases, zullen op SHA-1 gebaseerde handtekeningen worden verwijderd uit het "FUTURE"-beleid, plus ik ben van plan om een ​​testbeleid TEST-FEDORA39 te bieden om SHA-1 op gebruikersverzoek uit te schakelen (update -crypto-policies - set TEST-FEDORA39), bij het maken en verifiëren van op SHA-1 gebaseerde handtekeningen, worden waarschuwingen weergegeven in het logboek.

Voor Fedora 39 is het beleid, in TLS-perspectief:
NALATENSCHAP
MAC: alle HMAC's met SHA1 of hoger + alle moderne MAC's (Poly1305, etc.)
Krommen: alle priemgetallen >= 255 bits (inclusief Bernstein-krommen)
Signature-algoritmen: SHA-1 hash of beter (geen DSA)
Coderingen: allemaal beschikbaar > 112-bits sleutel, >= 128-bits blok (geen RC4 of 3DES)
Sleuteluitwisseling: ECDHE, RSA, DHE (zonder DHE-DSS)
DH-parametergrootte: >=2048
Grootte RSA-parameter: >=2048
TLS-protocollen: TLS >= 1.2

Daarna, tijdens de pre-bèta-release van Fedora Linux 38, zal de repository een beleid hebben tegen SHA-1-handtekeningen, maar deze wijziging is niet van toepassing op de bèta en release van Fedora Linux 38. Met de release van Fedora Linux 39, het afschaffingsbeleid voor SHA-1-handtekeningen wordt standaard toegepast.

Het voorgestelde plan is nog niet beoordeeld door FESCo (Fedora Engineering Steering Committee), die verantwoordelijk is voor het technische deel van de ontwikkeling van de Fedora-distributie.

Daarnaast is Het is ook de moeite waard om toe te voegen dat in Red Hat is gewaarschuwd over het einde van de ondersteuning voor de GTK 2-bibliotheek, te beginnen met de volgende tak van Red Hat Enterprise Linux.

Het gtk2-pakket wordt niet opgenomen in de RHEL 10-release, die alleen GTK 3 en GTK 4 ondersteunt. GTK 2 is verwijderd vanwege de beëindiging van de toolset en gebrek aan ondersteuning voor moderne technologieën zoals Wayland, HiDPI en HDR.

De toolkit heeft ons dankbaar gediend, maar het begint zijn leeftijd te tonen met betrekking tot moderne technologieën zoals Wayland, HiDPI-schermen, HDR en andere.

Programma's die gebonden blijven aan GTK 2, zoals GIMP en Ardour, zullen naar verwachting vóór 2025 tijd hebben om te migreren naar nieuwe GTK-filialen, die naar verwachting RHEL 10 zullen uitbrengen. In Ubuntu 22.04 gebruiken 504-pakketten libgtk2 als een afhankelijkheid.

De reden om dit te vermelden is dat een dergelijke wijziging ook wordt geïmplementeerd in enkele van de volgende versies van Fedora.

Eindelijk als u er meer over wilt weten over de lijst met geplande wijzigingen op het uitschakelen van handtekeningen, kunt u de details raadplegen in de volgende link.


Wees de eerste om te reageren

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.