nyligen nyheten släpptes av utvecklarna av Fedora-projektet och det är som de gjorde kända en plan för att inaktivera stöd för SHA-1 digitala signaturer för releasen av "Fedora Linux 39".
Det nämns att planen att inaktivera signaturer innebär att man eliminerar förtroendet för signaturer som använder SHA-1-hashar (SHA-224 kommer att deklareras som det minsta tillåtna i digitala signaturer), men behåller stöd för HMAC med SHA-1 och ger möjligheten att aktivera LEGACY-profilen med SHA-1.
Den främsta anledningen till att Fedora-utvecklarna har kommit till denna slutsats är att stödet för SHA-1-baserade signaturer har slutat. beror på en ökning av effektiviteten av kollisionsattacker med ett givet prefix (kostnaden för att välja en kollision uppskattas till flera tiotusentals dollar). Utöver det i webbläsare har certifikat som autentiserats med SHA-1-algoritmen markerats som osäkra sedan mitten av 2016.
Den huvudsakliga förändringen denna gång blir att misstro SHA-1-signaturer.
på kryptografiskt biblioteksnivå, vilket påverkar mer än bara TLS.OpenSSL kommer att börja blockera skapandet och verifieringen av signaturer som standard,
med den förväntade nederbörden som kommer att vara riklig nog
för oss att implementera förändringen genom flera cykler
med flera meddelanden
för att ge utvecklare och underhållare tillräckligt med tid att reagera.
Det är värt att nämna att efter att ha tillämpat de beskrivna ändringarna kommer OpenSSL-biblioteket som standard att blockera generering och verifiering av signaturer med SHA-1.
Avaktiveringen är planerad att genomföras i flera steg, som i Fedora Linux 36 och 37 utgåvor kommer SHA-1-baserade signaturer att tas bort från "FUTURE"-policyn, plus att jag planerar att tillhandahålla en testpolicy TEST-FEDORA39 för att inaktivera SHA-1 på användarens begäran (uppdatering -krypto-policyer – ställ in TEST-FEDORA39), när du skapar och verifierar SHA-1-baserade signaturer, kommer varningar att visas i loggen.
För Fedora 39 kommer policyerna att vara, i TLS-perspektiv:
ARV
MAC: alla HMAC:er med SHA1 eller högre + alla moderna MAC:er (Poly1305, etc.)
Kurvor: alla primtal >= 255 bitar (inklusive Bernstein-kurvor)
Signaturalgoritmer: SHA-1-hash eller bättre (ingen DSA)
Chiffer: alla tillgängliga > 112-bitars nyckel, >= 128-bitars block (ingen RC4 eller 3DES)
Nyckelbyte: ECDHE, RSA, DHE (utan DHE-DSS)
DH-parameterstorlek: >=2048
RSA-parameterstorlek: >=2048
TLS-protokoll: TLS >= 1.2
Efter det, under pre-beta-utgåvan av Fedora Linux 38, kommer förvaret att ha en policy mot SHA-1-signaturer, men denna ändring kommer inte att gälla för beta och release av Fedora Linux 38. Med releasen av Fedora Linux 39, policyn för utfasning av SHA-1-signaturen kommer att tillämpas som standard.
Den föreslagna planen har ännu inte granskats av FESCo (Fedora Engineering Steering Committee), som ansvarar för den tekniska delen av utvecklingen av Fedora-distributionen.
Dessutom, Det är också värt att tillägga det i Red Hat har blivit varnad om slutet på stödet för GTK 2-biblioteket, som börjar med nästa gren av Red Hat Enterprise Linux.
Paketet gtk2 kommer inte att inkluderas i RHEL 10-utgåvan, som endast kommer att stödja GTK 3 och GTK 4. GTK 2 togs bort på grund av utfasningen av verktygsuppsättningen och brist på stöd för moderna tekniker som Wayland, HiDPI och HDR.
Verktygslådan tjänade oss tacksamt, men den börjar visa sin ålder när det gäller modern teknik som Wayland, HiDPI-skärmar, HDR och andra.
Program som förblir bundna till GTK 2, såsom GIMP och Ardour, förväntas ha tid att migrera till nya GTK-grenar före 2025, vilket förväntas släppa RHEL 10. I Ubuntu 22.04 använder 504 paket libgtk2 som ett beroende.
Anledningen till att nämna detta är att en sådan förändring också kommer att implementeras i några av de kommande versionerna av Fedora.
Slutligen om du är intresserad av att veta mer om det om listan över ändringar som är planerade för inaktivering av signaturer, kan du konsultera detaljerna i följande länk.