Останнім часом новина була опублікована розробниками проекту Fedora, і це те, що вони оголосили план відключення підтримки цифрових підписів SHA-1 для випуску "Fedora Linux 39".
Зазначається, що план відключення підписів передбачає усунення довіри до підписів, які використовують хеші SHA-1 (SHA-224 буде оголошено як мінімально допустимий в цифрових підписах), але зберігаючи підтримку HMAC за допомогою SHA-1 і надання можливості вмикати профіль LEGACY за допомогою SHA-1.
Основною причиною, чому розробники Fedora дійшли такого висновку, є припинення підтримки підписів на основі SHA-1 обумовлено підвищенням ефективності колізійних атак із заданим префіксом (вартість вибору колізії оцінюється в кілька десятків тисяч доларів). Крім того, у браузерах сертифікати, автентифіковані за допомогою алгоритму SHA-1, із середини 2016 року позначаються як небезпечні.
Основною зміною цього разу буде недовіра до підписів SHA-1.
на рівні криптографічної бібліотеки, впливаючи не лише на TLS.OpenSSL почне блокувати створення та перевірку підписів за замовчуванням,
з очікуваними опадами, яких буде достатньо
щоб ми впровадили зміни через кілька циклів
з кількома повідомленнями
щоб дати розробникам і супроводжувачам достатньо часу для реакції.
Варто зазначити, що після застосування описаних змін бібліотека OpenSSL за замовчуванням блокуватиме створення та перевірку підписів за допомогою SHA-1.
Деактивацію планується проводити в кілька етапів, як і у випусках Fedora Linux 36 і 37, підписи на основі SHA-1 буде вилучено з політики «FUTURE», плюс я планую надати тестову політику TEST-FEDORA39 для вимкнення SHA-1 за запитом користувача (оновлення -crypto-policies – встановити TEST-FEDORA39), під час створення та перевірки підписів на основі SHA-1 у журналі відображатимуться попередження.
Для Fedora 39 політики будуть такими, з точки зору TLS:
Спадщина
MAC: усі HMAC з SHA1 або вище + усі сучасні MAC (Poly1305 тощо)
Криві: усі прості числа >= 255 біт (включаючи криві Бернштейна)
Алгоритми підпису: хеш SHA-1 або краще (без DSA)
Шифри: усі доступні > 112-бітний ключ, >= 128-бітний блок (без RC4 або 3DES)
Обмін ключами: ECDHE, RSA, DHE (без DHE-DSS)
Розмір параметра DH: >=2048
Розмір параметра RSA: >=2048
Протоколи TLS: TLS >= 1.2
Після цього, під час попередньої бета-версії Fedora Linux 38, сховище матиме політику проти підписів SHA-1, але ця зміна не застосовуватиметься до бета-версії та випуску Fedora Linux 38. З випуском Fedora Linux 39, за замовчуванням буде застосовано політику відмови від підпису SHA-1.
Запропонований план ще не розглянуто FESCo (Fedora Engineering Steering Committee), який відповідає за технічну частину розробки дистрибутива Fedora.
Крім того, Також варто додати, що в Red Hat було попереджено про припинення підтримки бібліотеки GTK 2, починаючи з наступної гілки Red Hat Enterprise Linux.
Пакет gtk2 не буде включений у випуск RHEL 10, який підтримуватиме лише GTK 3 і GTK 4. GTK 2 було видалено через застарілий набір інструментів і відсутність підтримки сучасних технологій, таких як Wayland, HiDPI та HDR.
Набір інструментів послужив нам із вдячністю, але він починає показувати свій вік по відношенню до сучасних технологій, таких як Wayland, дисплеї HiDPI, HDR та інші.
Очікується, що програми, які залишаються прив’язаними до GTK 2, такі як GIMP і Ardour, матимуть час перейти на нові гілки GTK до 2025 року, коли очікується випуск RHEL 10. В Ubuntu 22.04 504 пакунки використовують libgtk2 як залежність.
Причиною згадки про це є те, що така зміна також буде реалізована в деяких наступних версіях Fedora.
В кінці кінців якщо вам цікаво дізнатись більше про це про перелік змін, які плануються щодо відключення підписів, ви можете ознайомитися з деталями в наступне посилання.