recent vestea a fost lansată de către dezvoltatorii proiectului Fedora și asta l-au făcut cunoscut un plan pentru a dezactiva suportul pentru semnăturile digitale SHA-1 pentru lansarea „Fedora Linux 39”.
Se menționează că planul de dezactivare a semnăturilor presupune eliminarea încrederii în semnăturile care folosesc hash-uri SHA-1 (SHA-224 va fi declarat minim permis în semnăturile digitale), dar păstrând suportul pentru HMAC cu SHA-1 și oferirea capacității de a activa profilul LEGACY cu SHA-1.
Motivul principal pentru care dezvoltatorii Fedora au ajuns la această concluzie este că sfârșitul suportului pentru semnăturile bazate pe SHA-1 se datorează unei creșteri a eficienței atacurilor de coliziune cu un prefix dat (costul alegerii unei coliziuni este estimat la câteva zeci de mii de dolari). În plus față de cele din browsere, certificatele autentificate folosind algoritmul SHA-1 au fost marcate ca nesecurizate de la jumătatea anului 2016.
Principala schimbare de data aceasta va fi neîncrederea în semnăturile SHA-1.
la nivel de bibliotecă criptografică, afectând mai mult decât doar TLS.OpenSSL va începe să blocheze crearea și verificarea semnăturilor în mod implicit,
cu precipitaţiile anticipate care vor fi suficient de ample
pentru ca noi să implementăm schimbarea prin mai multe cicluri
cu mai multe notificări
pentru a oferi dezvoltatorilor și întreținătorilor suficient timp pentru a reacționa.
De menționat că după aplicarea modificărilor descrise, biblioteca OpenSSL va bloca implicit generarea și verificarea semnăturilor cu SHA-1.
Dezactivarea este planificată să fie efectuată în mai multe etape, la fel ca în versiunile Fedora Linux 36 și 37, semnăturile bazate pe SHA-1 vor fi eliminate din politica „VIITOR”, plus că intenționez să ofer o politică de testare TEST-FEDORA39 pentru a dezactiva SHA-1 la cererea utilizatorului (update -crypto-policies – setați TEST-FEDORA39), la crearea și verificarea semnăturilor bazate pe SHA-1, avertismentele vor fi afișate în jurnal.
Pentru Fedora 39, politicile vor fi, din perspectiva TLS:
MOŞTENIRE
MAC: toate HMAC-urile cu SHA1 sau mai mare + toate MAC-urile moderne (Poly1305 etc.)
Curbe: toate numerele prime >= 255 de biți (inclusiv curbele Bernstein)
Algoritmi de semnătură: hash SHA-1 sau mai bun (fără DSA)
Cifre: toate disponibile > cheie pe 112 biți, >= bloc pe 128 biți (fără RC4 sau 3DES)
Schimb de chei: ECDHE, RSA, DHE (fără DHE-DSS)
Dimensiunea parametrului DH: >=2048
Dimensiunea parametrului RSA: >=2048
Protocoale TLS: TLS >= 1.2
După aceea, în timpul lansării pre-beta a Fedora Linux 38, depozitul va avea o politică împotriva semnăturilor SHA-1, dar această modificare nu se va aplica beta și lansării Fedora Linux 38. Odată cu lansarea Fedora Linux 39, politica de depreciere a semnăturii SHA-1 va fi aplicată implicit.
Planul propus nu a fost încă revizuit de FESCo (Fedora Engineering Steering Committee), care este responsabil pentru partea tehnică a dezvoltării distribuției Fedora.
Mai mult decât atât, De asemenea, merită adăugat că în Red Hat a fost avertizat despre sfârșitul suportului pentru biblioteca GTK 2, începând cu următoarea ramură a Red Hat Enterprise Linux.
Pachetul gtk2 nu va fi inclus în versiunea RHEL 10, care va suporta doar GTK 3 și GTK 4. GTK 2 a fost eliminat din cauza deprecierii setului de instrumente și a lipsei de suport pentru tehnologii moderne precum Wayland, HiDPI și HDR.
Setul de instrumente ne-a servit cu recunoștință, dar începe să-și arate vechimea în ceea ce privește tehnologiile moderne precum Wayland, afișajele HiDPI, HDR și altele.
Se așteaptă ca programele care rămân legate de GTK 2, cum ar fi GIMP și Ardour, vor avea timp să migreze la noi ramuri GTK înainte de 2025, care se așteaptă să lanseze RHEL 10. În Ubuntu 22.04, pachetele 504 folosesc libgtk2 ca dependență.
Motivul pentru care menționăm acest lucru este că o astfel de schimbare ajunge să fie implementată și în unele dintre următoarele versiuni ale Fedora.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta despre lista modificărilor care sunt planificate la dezactivarea semnăturilor, puteți consulta detaliile în următorul link.