Pred kratkim novica je bila objavljena razvijalci projekta Fedora in to je, da so dali vedeti načrt za onemogočanje podpore za digitalne podpise SHA-1 za izdajo "Fedora Linux 39".
Omenjeno je, da načrt za onemogočanje podpisov pomeni odpravo zaupanja v podpise, ki uporabljajo zgoščene vrednosti SHA-1 (SHA-224 bo razglašen kot najmanjši dovoljeni v digitalnih podpisih), vendar ohranja podporo za HMAC s SHA-1 in zagotavljanje možnosti za omogočanje LEGACY profila s SHA-1.
Glavni razlog, zakaj so razvijalci Fedore prišli do tega zaključka, je konec podpore za podpise, ki temeljijo na SHA-1. je posledica povečanja učinkovitosti napadov trka z dano predpono (strošek izbire trka je ocenjen na nekaj deset tisoč dolarjev). Poleg tega v brskalnikih so potrdila, overjena z algoritmom SHA-1, od sredine leta 2016 označena kot nevarna.
Tokrat bo glavna sprememba nezaupanje podpisom SHA-1.
na ravni kriptografske knjižnice, ki vpliva več kot le na TLS.OpenSSL bo začel privzeto blokirati ustvarjanje in preverjanje podpisov,
s predvidenimi padavinami, ki jih bo dovolj
za uvedbo spremembe skozi več ciklov
z več obvestili
da imajo razvijalci in vzdrževalci dovolj časa za odziv.
Omeniti velja, da bo knjižnica OpenSSL po uporabi opisanih sprememb privzeto blokirala ustvarjanje in preverjanje podpisov s SHA-1.
Deaktivacija je predvidena v več fazah, tako kot v izdajah Fedora Linux 36 in 37 bodo podpisi, ki temeljijo na SHA-1, odstranjeni iz pravilnika "FUTURE", poleg tega nameravam zagotoviti testni pravilnik TEST-FEDORA39 za onemogočanje SHA-1 na zahtevo uporabnika (posodobitev -crypto-policies – nastavite TEST-FEDORA39), ko ustvarjate in preverjate podpise, ki temeljijo na SHA-1, bodo v dnevniku prikazana opozorila.
Za Fedoro 39 bodo pravilniki z vidika TLS:
ZAPUŠČINA
MAC: vsi HMAC-ji s SHA1 ali višjim + vsi sodobni MAC-ji (Poly1305 itd.)
Krivulje: vsa praštevila >= 255 bitov (vključno z Bernsteinovimi krivuljami)
Algoritmi podpisov: zgoščevanje SHA-1 ali boljši (brez DSA)
Šifre: vse na voljo > 112-bitni ključ, >= 128-bitni blok (brez RC4 ali 3DES)
Izmenjava ključev: ECDHE, RSA, DHE (brez DHE-DSS)
Velikost parametra DH: >=2048
Velikost parametra RSA: >=2048
Protokoli TLS: TLS >= 1.2
Po tem, med izdajo Fedora Linux 38 pred beta, bo imelo skladišče pravilnik proti podpisom SHA-1, vendar ta sprememba ne bo veljala za različico beta in izdajo Fedora Linux 38. Z izdajo Fedora Linux 39, privzeto bo uporabljen pravilnik o opustitvi podpisa SHA-1.
FESCo še ni pregledal predlaganega načrta (Fedora Engineering Steering Committee), ki skrbi za tehnični del razvoja distribucije Fedora.
Po drugi strani pa Dodati velja tudi, da v Red Hat je bil opozorjen o koncu podpore za knjižnico GTK 2, začenši z naslednjo vejo Red Hat Enterprise Linux.
Paket gtk2 ne bo vključen v izdajo RHEL 10, ki bo podpirala samo GTK 3 in GTK 4. GTK 2 je bil odstranjen zaradi zastarelosti nabora orodij in pomanjkanja podpore za sodobne tehnologije, kot so Wayland, HiDPI in HDR.
Zbirka orodij nam je hvaležno služila, vendar je začela kazati svojo starost glede na sodobne tehnologije, kot so Wayland, zasloni HiDPI, HDR in druge.
Programi, ki ostajajo vezani na GTK 2, kot sta GIMP in Ardour, naj bi imeli čas za selitev na nove veje GTK pred letom 2025, ki naj bi izdal RHEL 10. V Ubuntu 22.04 504 paketov uporablja libgtk2 kot odvisnost.
Razlog za omembo tega je, da se taka sprememba na koncu izvaja tudi v nekaterih naslednjih različicah Fedore.
Končno če vas zanima več o tem o seznamu sprememb, ki so predvidene pri onemogočanju podpisov, si lahko ogledate podrobnosti v naslednja povezava.