Faz pouco a notícia foi divulgada pelos desenvolvedores do projeto Fedora e é que eles deram a conhecer um plano para desabilitar o suporte para assinaturas digitais SHA-1 para o lançamento do "Fedora Linux 39".
Menciona-se que o plano de desabilitar assinaturas implica eliminar a confiança em assinaturas que usam hashes SHA-1 (SHA-224 será declarado como o mínimo permitido em assinaturas digitais), mas mantendo o suporte para HMAC com SHA-1 e fornecendo a capacidade de habilitar o perfil LEGACY com SHA-1.
A principal razão pela qual os desenvolvedores do Fedora chegaram a essa conclusão é que o fim do suporte para assinaturas baseadas em SHA-1 é devido a um aumento na eficiência dos ataques de colisão com um determinado prefixo (o custo de escolher uma colisão é estimado em várias dezenas de milhares de dólares). Além disso, nos navegadores, os certificados autenticados usando o algoritmo SHA-1 foram marcados como não seguros desde meados de 2016.
A principal mudança desta vez será desconfiar das assinaturas SHA-1.
no nível da biblioteca criptográfica, afetando mais do que apenas o TLS.O OpenSSL começará a bloquear a criação e verificação de assinaturas por padrão,
com a precipitação prevista que será suficiente
para implementarmos a mudança por meio de vários ciclos
com vários avisos
para dar aos desenvolvedores e mantenedores tempo suficiente para reagir.
Vale ressaltar que após aplicar as alterações descritas, a biblioteca OpenSSL por padrão bloqueará a geração e verificação de assinaturas com SHA-1.
A desativação está prevista para ser realizada em várias etapas, como nas versões 36 e 37 do Fedora Linux, assinaturas baseadas em SHA-1 serão removidas da política "FUTURE", além disso, pretendo fornecer uma política de teste TEST-FEDORA39 para desabilitar SHA-1 a pedido do usuário (update -crypto-policies - set TEST-FEDORA39), ao criar e verificar assinaturas baseadas em SHA-1, avisos serão exibidos no log.
Para o Fedora 39, as políticas serão, na perspectiva do TLS:
LEGADO
MAC: todos os HMACs com SHA1 ou superior + todos os MACs modernos (Poly1305, etc.)
Curvas: todos os primos >= 255 bits (incluindo curvas de Bernstein)
Algoritmos de assinatura: hash SHA-1 ou melhor (sem DSA)
Cifras: todas disponíveis > chave de 112 bits, >= bloco de 128 bits (sem RC4 ou 3DES)
Troca de chaves: ECDHE, RSA, DHE (sem DHE-DSS)
Tamanho do parâmetro DH: >=2048
Tamanho do parâmetro RSA: >=2048
Protocolos TLS: TLS >= 1.2
Depois disso, durante o lançamento pré-beta do Fedora Linux 38, o repositório terá uma política contra assinaturas SHA-1, mas essa mudança não se aplicará à versão beta e ao lançamento do Fedora Linux 38. Com o lançamento do Fedora Linux 39, a política de descontinuação de assinatura SHA-1 será aplicada por padrão.
O plano proposto ainda não foi revisado pelo FESCo (Fedora Engineering Steering Committee), que é responsável pela parte técnica do desenvolvimento da distribuição Fedora.
Além disso, Também vale acrescentar que na Red Hat foi avisado sobre o fim do suporte para a biblioteca GTK 2, começando com a próxima ramificação do Red Hat Enterprise Linux.
O pacote gtk2 não será incluído na versão RHEL 10, que suportará apenas GTK 3 e GTK 4. GTK 2 foi removido devido à descontinuação do conjunto de ferramentas e falta de suporte para tecnologias modernas como Wayland, HiDPI e HDR.
O kit de ferramentas nos serviu com gratidão, mas está começando a mostrar sua idade em relação a tecnologias modernas como Wayland, telas HiDPI, HDR e outras.
Espera-se que os programas que permanecem vinculados ao GTK 2, como GIMP e Ardour, tenham tempo para migrar para novas ramificações do GTK antes de 2025, que deve liberar o RHEL 10. No Ubuntu 22.04, os pacotes 504 usam libgtk2 como dependência.
A razão de mencionar isso é que tal mudança também acaba sendo implementada em algumas das próximas versões do Fedora.
Finalmente se você estiver interessado em saber mais sobre isso sobre a lista de alterações previstas na desativação de assinaturas, você pode consultar os detalhes no link a seguir