geçenlerde haberler yayınlandı Fedora projesinin geliştiricileri tarafından ve bilinen SHA-1 dijital imza desteğini devre dışı bırakma planı "Fedora Linux 39"un piyasaya sürülmesi için.
İmzaları devre dışı bırakma planının, SHA-1 karmalarını kullanan imzalara olan güvenin ortadan kaldırılması anlamına geldiğinden (SHA-224, dijital imzalarda izin verilen minimum olarak bildirilecektir), ancak SHA-1 ile HMAC desteğini sürdürmek ve LEGACY profilini SHA-1 ile etkinleştirme yeteneğinin sağlanması.
Fedora geliştiricilerinin bu sonuca varmasının ana nedeni, SHA-1 tabanlı imza desteğinin sona ermesidir. belirli bir önekle çarpışma saldırılarının verimliliğindeki bir artıştan kaynaklanmaktadır (bir çarpışma seçmenin maliyeti on binlerce dolar olarak tahmin edilmektedir). Tarayıcılarda buna ek olarak, SHA-1 algoritması kullanılarak kimliği doğrulanan sertifikalar, 2016'nın ortasından bu yana güvenli değil olarak işaretlendi.
Bu seferki ana değişiklik, SHA-1 imzalarına güvenmemek olacak.
TLS'den daha fazlasını etkileyen kriptografik kitaplık düzeyinde.OpenSSL, varsayılan olarak imzaların oluşturulmasını ve doğrulanmasını engellemeye başlayacaktır,
yeterince bol olacak beklenen yağış ile
değişikliği birden çok döngü aracılığıyla uygulamamız için
birden fazla bildirim ile
geliştiricilere ve bakımcılara tepki vermeleri için yeterli zaman vermek.
Açıklanan değişiklikleri uyguladıktan sonra OpenSSL kitaplığının varsayılan olarak SHA-1 ile imzaların oluşturulmasını ve doğrulanmasını engelleyeceğini belirtmekte fayda var.
Devre dışı bırakmanın birkaç aşamada gerçekleştirilmesi planlanmaktadır, Fedora Linux 36 ve 37 sürümlerinde olduğu gibi, SHA-1 tabanlı imzalar "GELECEK" politikasından kaldırılacak, ayrıca kullanıcı isteği üzerine SHA-39'i devre dışı bırakmak için bir test politikası TEST-FEDORA1 sağlamayı planlıyorum (güncelleme -kripto-policies – set TEST-FEDORA39), SHA-1 tabanlı imzaları oluştururken ve doğrularken, günlükte uyarılar görüntülenecektir.
Fedora 39 için politikalar TLS açısından şöyle olacaktır:
Miras
MAC: SHA1 veya üzeri olan tüm HMAC'ler + tüm modern MAC'ler (Poly1305, vb.)
Eğriler: tüm asal sayılar >= 255 bit (Bernstein eğrileri dahil)
İmza algoritmaları: SHA-1 karma veya daha iyisi (DSA yok)
Şifreler: tümü kullanılabilir > 112 bit anahtar, >= 128 bit blok (RC4 veya 3DES yok)
Anahtar değişimi: ECDHE, RSA, DHE (DHE-DSS olmadan)
DH parametre boyutu: >=2048
RSA Parametre Boyutu: >=2048
TLS protokolleri: TLS >= 1.2
Bundan sonra, Fedora Linux 38'in beta öncesi sürümü sırasında, havuzun SHA-1 imzalarına karşı bir politikası olacak, ancak bu değişiklik Fedora Linux 38'in beta ve sürümü için geçerli olmayacak. Fedora Linux 39'un piyasaya sürülmesiyle, SHA-1 imza kullanımdan kaldırma ilkesi varsayılan olarak uygulanacaktır.
Önerilen plan henüz FESCo tarafından gözden geçirilmemiştir. Fedora dağıtımının geliştirilmesinin teknik bölümünden sorumlu olan (Fedora Mühendislik Yönlendirme Komitesi).
Ayrıca, Red Hat'ta şunu da eklemekte fayda var. uyarıldı GTK 2 kitaplığı desteğinin sonu hakkında, Red Hat Enterprise Linux'un bir sonraki şubesinden başlayarak.
gtk2 paketi, yalnızca GTK 10 ve GTK 3'ü destekleyecek olan RHEL 4 sürümüne dahil edilmeyecek. Araç setinin kullanımdan kaldırılması ve Wayland, HiDPI ve HDR gibi modern teknolojilerin desteklenmemesi nedeniyle GTK 2 kaldırıldı.
Araç seti bize minnetle hizmet etti, ancak Wayland, HiDPI ekranlar, HDR ve diğerleri gibi modern teknolojiler açısından yaşını göstermeye başladı.
GIMP ve Ardour gibi GTK 2'ye bağlı kalan programların, RHEL 2025'u piyasaya sürmesi beklenen 10'ten önce yeni GTK şubelerine geçiş yapmak için zamana sahip olması bekleniyor. Ubuntu 22.04'te 504 paket bağımlılık olarak libgtk2 kullanıyor.
Bundan bahsetmemin nedeni, böyle bir değişikliğin Fedora'nın sonraki bazı sürümlerinde de uygulanmasıdır.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan İmzaların devre dışı bırakılmasıyla ilgili planlanan değişikliklerin listesi hakkında ayrıntılara inceleyebilirsiniz. aşağıdaki bağlantı.