เมื่อเร็ว ๆ นี้ ได้ข่าวว่า โดยผู้พัฒนาโครงการ Fedora และเป็นที่ที่พวกเขาทำให้เป็นที่รู้จัก แผนการปิดการรองรับลายเซ็นดิจิทัล SHA-1 สำหรับการเปิดตัว "Fedora Linux 39"
มีการกล่าวถึงว่าแผนการปิดการใช้งานลายเซ็นหมายถึงการกำจัดความน่าเชื่อถือในลายเซ็นที่ใช้แฮช SHA-1 (SHA-224 จะได้รับการประกาศเป็นขั้นต่ำที่อนุญาตในลายเซ็นดิจิทัล) แต่ยังคงสนับสนุน HMAC ด้วย SHA-1 และให้ความสามารถในการเปิดใช้งานโปรไฟล์ LEGACY ด้วย SHA-1
สาเหตุหลักที่นักพัฒนา Fedora ได้ข้อสรุปนี้ก็คือการสิ้นสุดการสนับสนุนลายเซ็นที่ใช้ SHA-1 เกิดจากการเพิ่มประสิทธิภาพของการโจมตีชนด้วยคำนำหน้าที่กำหนด (ค่าใช้จ่ายในการเลือกชนประมาณหลายหมื่นดอลลาร์) นอกจากนั้นในเบราว์เซอร์ ใบรับรองที่ตรวจสอบสิทธิ์โดยใช้อัลกอริทึม SHA-1 ถูกทำเครื่องหมายว่าไม่ปลอดภัยตั้งแต่กลางปี 2016
การเปลี่ยนแปลงหลักในครั้งนี้คือการไม่ไว้วางใจลายเซ็น SHA-1
ในระดับไลบรารีเข้ารหัส ซึ่งส่งผลกระทบมากกว่าแค่ TLSOpenSSL จะเริ่มบล็อกการสร้างและการตรวจสอบลายเซ็นโดยค่าเริ่มต้น
กับปริมาณน้ำฝนที่คาดว่าจะเพียงพอ
เพื่อให้เราสามารถดำเนินการเปลี่ยนแปลงได้หลายรอบ
พร้อมประกาศหลายฉบับ
เพื่อให้นักพัฒนาและผู้ดูแลมีเวลาเพียงพอในการตอบสนอง
เป็นมูลค่าการกล่าวขวัญว่าหลังจากใช้การเปลี่ยนแปลงที่อธิบายไว้ ไลบรารี OpenSSL จะบล็อกการสร้างและการตรวจสอบลายเซ็นด้วย SHA-1 ตามค่าเริ่มต้น
การปิดใช้งานมีการวางแผนที่จะดำเนินการในหลายขั้นตอน เช่นเดียวกับในรุ่น Fedora Linux 36 และ 37 ลายเซ็นที่ใช้ SHA-1 จะถูกลบออกจากนโยบาย "อนาคต" รวมทั้งฉันวางแผนที่จะจัดเตรียมนโยบายการทดสอบ TEST-FEDORA39 เพื่อปิดใช้งาน SHA-1 ตามคำขอของผู้ใช้ (อัปเดต -crypto-policies – ตั้งค่า TEST-FEDORA39) เมื่อสร้างและยืนยันลายเซ็นที่ใช้ SHA-1 คำเตือนจะแสดงในบันทึก
สำหรับ Fedora 39 นโยบายจะอยู่ในมุมมองของ TLS:
LEGACY
MAC: HMAC ทั้งหมดที่มี SHA1 หรือสูงกว่า + MAC ที่ทันสมัยทั้งหมด (Poly1305 เป็นต้น)
เส้นโค้ง: จำนวนเฉพาะทั้งหมด >= 255 บิต (รวมเส้นโค้ง Bernstein)
อัลกอริทึมลายเซ็น: แฮช SHA-1 หรือดีกว่า (ไม่มี DSA)
การเข้ารหัส: มีทั้งหมด > คีย์ 112 บิต >= บล็อก 128 บิต (ไม่มี RC4 หรือ 3DES)
การแลกเปลี่ยนคีย์: ECDHE, RSA, DHE (ไม่มี DHE-DSS)
ขนาดพารามิเตอร์ DH: >= 2048
ขนาดพารามิเตอร์ RSA: >= 2048
โปรโตคอล TLS: TLS >= 1.2
หลังจากนั้น ในช่วงพรีเบต้าของ Fedora Linux 38 พื้นที่เก็บข้อมูลจะมีนโยบายต่อต้านลายเซ็น SHA-1 แต่การเปลี่ยนแปลงนี้จะไม่มีผลกับรุ่นเบต้าและรุ่นของ Fedora Linux 38 ด้วยการเปิดตัว Fedora Linux 39 นโยบายการเลิกใช้ลายเซ็น SHA-1 จะถูกนำไปใช้โดยค่าเริ่มต้น
แผนการที่เสนอยังไม่ได้รับการตรวจสอบโดยFESCO (Fedora Engineering Steering Committee) ซึ่งรับผิดชอบส่วนทางเทคนิคของการพัฒนา Fedora จัดจำหน่าย
นอกจากนี้ นอกจากนี้ยังเป็นมูลค่าเพิ่มว่าในเร้ดแฮท ได้รับการเตือน เกี่ยวกับการสิ้นสุดการสนับสนุนไลบรารี GTK 2โดยเริ่มจาก Red Hat Enterprise Linux สาขาถัดไป
แพ็คเกจ gtk2 จะไม่รวมอยู่ในรุ่น RHEL 10 ซึ่งจะรองรับเฉพาะ GTK 3 และ GTK 4 GTK 2 ถูกลบออกเนื่องจากการเลิกใช้งานชุดเครื่องมือและขาดการรองรับเทคโนโลยีสมัยใหม่ เช่น Wayland, HiDPI และ HDR
ชุดเครื่องมือนี้ให้บริการเราอย่างซาบซึ้ง แต่มันเริ่มแสดงให้เห็นอายุในแง่ของเทคโนโลยีสมัยใหม่ เช่น Wayland, จอภาพ HiDPI, HDR และอื่นๆ
โปรแกรมที่ยังคงผูกมัดกับ GTK 2 เช่น GIMP และ Ardour คาดว่าจะมีเวลาโยกย้ายไปยังสาขา GTK ใหม่ก่อนปี 2025 ซึ่งคาดว่าจะเปิดตัว RHEL 10 ใน Ubuntu 22.04 แพ็คเกจ 504 ใช้ libgtk2 เป็นการพึ่งพา
เหตุผลที่กล่าวถึงเรื่องนี้ก็คือการเปลี่ยนแปลงดังกล่าวยังถูกนำไปใช้ใน Fedora เวอร์ชันถัดไปบางรุ่นอีกด้วย
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม เกี่ยวกับรายการการเปลี่ยนแปลงที่วางแผนไว้สำหรับการปิดใช้งานลายเซ็น คุณสามารถดูรายละเอียดใน ลิงค์ต่อไปนี้