W Fedorze 39 planują wyłączyć obsługę sygnatur SHA-1 

Ostatnio wiadomość została wydana przez programistów projektu Fedora i to oni poinformowali plan wyłączenia obsługi podpisów cyfrowych SHA-1 za wydanie "Fedora Linux 39".

Wspomniano, że plan wyłączenia podpisów zakłada wyeliminowanie zaufania do podpisów wykorzystujących skróty SHA-1 (SHA-224 zostanie zadeklarowany jako minimum dozwolone w podpisach cyfrowych), ale utrzymanie wsparcia dla HMAC z SHA-1 oraz zapewnienie możliwości włączenia profilu LEGACY z SHA-1.

Głównym powodem, dla którego programiści Fedory doszli do takiego wniosku, jest koniec obsługi sygnatur opartych na SHA-1 wynika ze zwiększenia skuteczności ataków kolizyjnych z danym prefiksem (koszt wyboru kolizji szacowany jest na kilkadziesiąt tysięcy dolarów). Oprócz tego w przeglądarkach od połowy 1 roku certyfikaty uwierzytelniane algorytmem SHA-2016 są oznaczane jako niezabezpieczone.

Główną zmianą tym razem będzie brak zaufania do podpisów SHA-1.
na poziomie biblioteki kryptograficznej, wpływając nie tylko na TLS.

OpenSSL domyślnie zacznie blokować tworzenie i weryfikację podpisów,
z przewidywanymi opadami, które będą wystarczające
abyśmy mogli wprowadzić zmianę w wielu cyklach
z wieloma powiadomieniami
aby dać programistom i opiekunom wystarczająco dużo czasu na reakcję.

Warto wspomnieć, że po zastosowaniu opisanych zmian biblioteka OpenSSL domyślnie zablokuje generowanie i weryfikację podpisów za pomocą SHA-1.

Dezaktywacja planowana jest w kilku etapach, tak jak w wydaniach Fedory Linux 36 i 37, sygnatury oparte na SHA-1 zostaną usunięte z polityki „FUTURE”, plus planuję dostarczyć politykę testową TEST-FEDORA39, aby wyłączyć SHA-1 na żądanie użytkownika (update -crypto-policies – ustaw TEST-FEDORA39), podczas tworzenia i weryfikacji podpisów opartych na SHA-1 w logu będą wyświetlane ostrzeżenia.

W przypadku Fedory 39 zasady będą, w perspektywie TLS:
DZIEDZICTWO
MAC: wszystkie HMAC z SHA1 lub wyższym + wszystkie nowoczesne MAC (Poly1305 itp.)
Krzywe: wszystkie liczby pierwsze >= 255 bitów (w tym krzywe Bernsteina)
Algorytmy podpisu: skrót SHA-1 lub lepszy (bez DSA)
Szyfry: wszystkie dostępne > klucz 112-bitowy, >= blok 128-bitowy (bez RC4 lub 3DES)
Wymiana kluczy: ECDHE, RSA, DHE (bez DHE-DSS)
Wielkość parametru DH:>=2048
Rozmiar parametru RSA:>=2048
Protokoły TLS: TLS >= 1.2

Następnie, podczas wydania pre-beta Fedory Linux 38, repozytorium będzie miało politykę przeciwko podpisom SHA-1, ale ta zmiana nie będzie miała zastosowania do wersji beta i wydania Fedory Linux 38. Wraz z wydaniem Fedory Linux 39, zasady wycofywania podpisów SHA-1 będą stosowane domyślnie.

Proponowany plan nie został jeszcze zweryfikowany przez FESCo (Fedora Engineering Steering Committee), który jest odpowiedzialny za techniczną część rozwoju dystrybucji Fedory.

Ponadto Warto też dodać, że w Red Hat został ostrzeżony o zakończeniu wsparcia dla biblioteki GTK 2, zaczynając od kolejnej gałęzi Red Hat Enterprise Linux.

Pakiet gtk2 nie będzie zawarty w wydaniu RHEL 10, które będzie obsługiwać tylko GTK 3 i GTK 4. GTK 2 zostało usunięte z powodu przestarzałego zestawu narzędzi i braku obsługi nowoczesnych technologii, takich jak Wayland, HiDPI i HDR.

Zestaw narzędzi służył nam z wdzięcznością, ale zaczyna pokazywać swój wiek w odniesieniu do nowoczesnych technologii, takich jak Wayland, wyświetlacze HiDPI, HDR i inne.

Oczekuje się, że programy, które pozostają związane z GTK 2, takie jak GIMP i Ardour, będą miały czas na migrację do nowych gałęzi GTK przed 2025 r., co ma wydać RHEL 10. W Ubuntu 22.04 pakiety 504 używają libgtk2 jako zależności.

Powodem, dla którego warto o tym wspomnieć, jest to, że taka zmiana jest również implementowana w niektórych następnych wersjach Fedory.

W końcu jeśli chcesz dowiedzieć się więcej na ten temat o liście planowanych zmian dotyczących wyłączenia podpisów możesz zapoznać się ze szczegółami w następujący link.


Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.