Gần đây tin tức đã được phát hành bởi các nhà phát triển của dự án Fedora và họ đã làm cho một kế hoạch để vô hiệu hóa hỗ trợ cho chữ ký số SHA-1 để phát hành "Fedora Linux 39".
Người ta đề cập rằng kế hoạch vô hiệu hóa chữ ký ngụ ý loại bỏ sự tin tưởng vào chữ ký sử dụng hàm băm SHA-1 (SHA-224 sẽ được tuyên bố là mức tối thiểu được phép trong chữ ký điện tử), nhưng vẫn hỗ trợ HMAC với SHA-1 và cung cấp khả năng kích hoạt cấu hình HỢP PHÁP với SHA-1.
Lý do chính tại sao các nhà phát triển Fedora đi đến kết luận này là sự kết thúc hỗ trợ cho chữ ký dựa trên SHA-1 là do sự gia tăng hiệu quả của các cuộc tấn công va chạm với một tiền tố nhất định (chi phí chọn va chạm ước tính vài chục nghìn USD). Ngoài ra, trong các trình duyệt, các chứng chỉ được xác thực bằng thuật toán SHA-1 đã bị đánh dấu là không an toàn kể từ giữa năm 2016.
Thay đổi chính lần này sẽ là không tin tưởng vào chữ ký SHA-1.
ở cấp thư viện mật mã, không chỉ ảnh hưởng đến TLS.OpenSSL sẽ bắt đầu chặn việc tạo và xác minh chữ ký theo mặc định,
với lượng mưa dự đoán sẽ đủ lớn
để chúng tôi thực hiện thay đổi qua nhiều chu kỳ
với nhiều thông báo
để cung cấp cho các nhà phát triển và người bảo trì đủ thời gian để phản ứng.
Điều đáng nói là sau khi áp dụng các thay đổi được mô tả, thư viện OpenSSL sẽ mặc định chặn việc tạo và xác minh chữ ký với SHA-1.
Việc hủy kích hoạt được lên kế hoạch thực hiện trong nhiều giai đoạn, như trong các bản phát hành Fedora Linux 36 và 37, chữ ký dựa trên SHA-1 sẽ bị xóa khỏi chính sách "TƯƠNG LAI", ngoài ra tôi dự định cung cấp chính sách thử nghiệm TEST-FEDORA39 để tắt SHA-1 theo yêu cầu của người dùng (cập nhật -crypto-policy - đặt TEST-FEDORA39), khi tạo và xác minh chữ ký dựa trên SHA-1, cảnh báo sẽ được hiển thị trong nhật ký.
Đối với Fedora 39, các chính sách sẽ là, theo quan điểm của TLS:
DI SẢN
MAC: tất cả HMAC có SHA1 trở lên + tất cả MAC hiện đại (Poly1305, v.v.)
Đường cong: tất cả các số nguyên tố> = 255 bit (bao gồm cả đường cong Bernstein)
Thuật toán chữ ký: SHA-1 hash trở lên (không có DSA)
Mật mã: tất cả có sẵn> khóa 112 bit,> = khối 128 bit (không có RC4 hoặc 3DES)
Trao đổi khóa: ECDHE, RSA, DHE (không có DHE-DSS)
Kích thước tham số DH:> = 2048
Kích thước thông số RSA:> = 2048
Giao thức TLS: TLS> = 1.2
Sau đó, trong quá trình phát hành trước bản beta của Fedora Linux 38, kho lưu trữ sẽ có chính sách chống lại chữ ký SHA-1, nhưng thay đổi này sẽ không áp dụng cho bản beta và bản phát hành của Fedora Linux 38. Với việc phát hành Fedora Linux 39, chính sách ngừng sử dụng chữ ký SHA-1 sẽ được áp dụng theo mặc định.
Kế hoạch đề xuất vẫn chưa được FESCo xem xét (Ủy ban Chỉ đạo Kỹ thuật Fedora), chịu trách nhiệm về phần kỹ thuật của việc phát triển bản phân phối Fedora.
Hơn nữa, Cũng cần thêm điều đó trong Red Hat đã được cảnh báo về việc kết thúc hỗ trợ cho thư viện GTK 2, bắt đầu với nhánh tiếp theo của Red Hat Enterprise Linux.
Gói gtk2 sẽ không được bao gồm trong bản phát hành RHEL 10, sẽ chỉ hỗ trợ GTK 3 và GTK 4. GTK 2 đã bị loại bỏ do bộ công cụ ngừng hoạt động và thiếu hỗ trợ cho các công nghệ hiện đại như Wayland, HiDPI và HDR.
Bộ công cụ đã phục vụ chúng tôi một cách biết ơn, nhưng nó đang bắt đầu cho thấy tuổi của nó liên quan đến các công nghệ hiện đại như Wayland, màn hình HiDPI, HDR và các công nghệ khác.
Các chương trình vẫn bị ràng buộc với GTK 2, chẳng hạn như GIMP và Ardor, dự kiến sẽ có thời gian để chuyển sang các nhánh GTK mới trước năm 2025, dự kiến sẽ phát hành RHEL 10. Trong Ubuntu 22.04, các gói 504 sử dụng libgtk2 làm phụ thuộc.
Lý do đề cập đến điều này là sự thay đổi như vậy cũng sẽ được thực hiện trong một số phiên bản tiếp theo của Fedora.
Cuối cùng nếu bạn muốn biết thêm về nó về danh sách các thay đổi được lên kế hoạch về việc vô hiệu hóa chữ ký, bạn có thể tham khảo chi tiết trong liên kết theo dõi.