The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Fedora Linux 39 планируют по умолчанию отключить поддержку подписей на основе SHA-1

30.08.2022 10:41

Разработчики проекта Fedora наметили план отключения поддержки цифровых подписей на основе алгоритма SHA-1 в Fedora Linux 39. Отключение предполагает прекращение доверия к подписям, в которых используются хэши SHA-1 (в качестве минимально поддерживаемого в цифровых подписях будет заявлен SHA-224), но сохранение поддержки HMAC с SHA-1 и предоставлении возможности включить LEGACY-профиль с SHA-1. После применения изменений библиотека OpenSSL по умолчанию начнёт блокировать генерацию и проверку подписей с SHA-1.

Отключение планируется провести в несколько этапов: В Fedora Linux 36 и 37 подписи на основе SHA-1 будут исключены из политики "FUTURE", предоставлена тестовая политика TEST-FEDORA39 для отключения SHA-1 по желанию пользователя (update-crypto-policies --set TEST-FEDORA39), при создании и верификации подписей на основе SHA-1 в логе будут отображаться предупреждения. В процессе подготовки выпуска Fedora Linux 38 до формирования бета-версии в репозитории rawhide будет применена политика, запрещающая использование подписей на основе SHA-1, но в бета-выпуске и релизе Fedora Linux 38 это изменение применяться не будет. В выпуске Fedora Linux 39 политика с прекращением поддержки подписей на основе SHA-1 будет применена по умолчанию.

Предложенный план пока не рассмотрен комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Прекращение поддержки подписей на основе SHA-1 обусловлено повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается в несколько десятков тысяч долларов). В браузерах сертификаты, заверенные с использованием алгоритма SHA-1, помечаются как незащищённые с середины 2016 года.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Для ядра Linux предложена реализация /dev/random, избавленная от привязки к SHA-1
  3. OpenNews: Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha
  4. OpenNews: Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP
  5. OpenNews: Представлен более эффективный метод определения коллизий для SHA-1
  6. OpenNews: Доступна криптографическая хеш-функция BLAKE3, работающая в 10 раз быстрее SHA-2
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57697-fedora
Ключевые слова: fedora, sha
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:51, 30/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну наконец-то.
     
     
  • 2.62, Аноним (62), 09:28, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сейчас деприкейтят старое, а потом будут вводить своё новое от EEEшенное.
     

  • 1.2, Аноним (2), 10:55, 30/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Всё отключить, оставить только: Wayland, systemd, Gnome, snapd, flatpack, а Gtk менять каждый год, отбрасывая при этом "устаревший".
     
     
  • 2.3, zshfan (ok), 11:10, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    А как-же Gnome-info-collect? Его тоже надо оставить и даже сделать обязательной зависимостью ядра!
     
     
  • 3.43, Аноним (43), 15:28, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А если кде?
    Может лучше зависимостью grub или Lilo?
     
     
  • 4.55, Аноним (55), 00:42, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В мире линух уже не слова "если" после впихивания системды. Тогда тоже думали: "а если..."
     
  • 3.65, Аноним (-), 19:51, 02/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Deprecated, заменить на systemd-info-collect и связать по ДИБАСУ с systemd-machined.
     
  • 2.4, Аноним (4), 11:17, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Многие дистрибутивы ищут источник роста прогресса, только сами того не замечая начинают принимать  какие то странные решения: тот же снап в Ubuntu со своим долгим запуском.
     
     
  • 3.7, Аноним (7), 11:24, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это не рост это вендорлок.
     
  • 3.54, anonymous (??), 00:12, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Снапы флэтпаки это попытка как то цивилизованно и централизованно разрулить кризис с поддержкой сильно старых, с сомнительной лицензией и просто глючных но "всем нравящимся" библиотек, типа выделать отдельный загон каждому и творите что хотите. В теории то наверно правильный подход, нормальное все в основном дистрибутиве все подписано все проверено в репозиториях, строго правильные последние версии. Но в итоге страдает основная база (а зачем тщательно проверять тестировать разрабатывать, вот сделай флэтпак снап "зборка Зверя с обоями и проприетарными кодеками").
     
     
  • 4.56, Аноним (56), 02:39, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда можно поставить конкретную версию библиотеки, проблемы с сомнительной лицензией решаются тем, что ПО от него зависящее нужно ставить из левого репозитария. Просто философия Java-программистов лезет повсюду из за корпораций руководящих СПО. Отсюда и идея "всё своё ношу с собой".
     
     
  • 5.57, qetuo (?), 05:54, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Всегда можно поставить конкретную версию библиотеки

    Мужики и не знали.

     
  • 2.9, Аноним (9), 11:37, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    welcome_on_board_meme.jpeg
     
  • 2.24, qqqqqq3 (?), 12:59, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А Wayland в этом списке к чему?
     
     
  • 3.51, Аноним (51), 19:34, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а systemd?
     
     
  • 4.64, qqqqqq3 (?), 15:59, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    протокол wayland не раздутый, в отличие от системы инициализации systemd
     
  • 2.40, Kuromi (ok), 15:24, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так собственно ты их план сейчас озвучил. Вот только не будет снап и фталпак, только что-то одно.
     

  • 1.5, timur.davletshin (ok), 11:18, 30/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Будто все используют OpenSSL... LibreOffice, Firefox, Evolution используют NSS, Chrome юзает BoringSSL, а ещё куча софта использует GnuTLS! И это я уже не говорю про WolfSSL и mbedTLS.
     
     
  • 2.6, Аноним (7), 11:23, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Будто компании IBM есть до этого дело.
     
     
  • 3.8, timur.davletshin (ok), 11:24, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Будто кому-то есть дело до IBM...
     
  • 2.10, Аноним (10), 12:03, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты не поверишь, но так и есть. У браузеров свои нескучные костыли и все остальные это openssl.
     
     
  • 3.12, timur.davletshin (ok), 12:12, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "Ты не поверишь" не совсем по адресу ты конечно сказал, но я перечислил софт, чтобы нельзя было сказать "все остальные". "Все остальные" - это кто?
     
     
  • 4.19, Аноним (10), 12:32, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Все остальные" -- это WolfSSL и mbedTLS, это надо быть не в себе, чтобы на них завязаться. Встройка может быть, но любая встройка уязвима примерно всегда и для всего чего можно, в этом и смысл встройки (привет openwrt).
     
     
  • 5.22, timur.davletshin (ok), 12:55, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Толсто, на котиках тренируйся накидывать. И OpenWRT не при делах, т.к. на нём TLS трафик не терминируется в 99%.
     
     
  • 6.25, Аноним (10), 13:04, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не "толсто", а "правда жизни". Твои проблемы, если ты закрываешь глаза при виде очевидного.
     
  • 2.11, Аноним (10), 12:10, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кстати, на gnutls завязан только вайн. Всем плевать, что там использует вайн. У nss  из пользователей только хромоног с жырнолисом. Про остальных нечего и вспоминать, они вообще ни о чём.
     
     
  • 3.14, timur.davletshin (ok), 12:13, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    NSS не используется хромоногом. Зато используется почтовиком, который до сих пор по дефолту идёт у многих и офисным пакетом. Да и GnuTLS завязан на куда большее кол-во софта, чем ты думаешь. Зависимости посмотри в своём дистрибутиве.
     
     
  • 4.18, Аноним (10), 12:29, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Gnutls имеет только gnupg (потому что gnu) и wine из пользователей. То, что он там завязан на nettle, особого значения не имеет, хотя сторонний проект это и лишний вектор для атак. А либа NSS у в зависимостях у всего хромосодержащего, я не проверял, для чего.
     
     
  • 5.21, timur.davletshin (ok), 12:52, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Gnutls имеет только gnupg

    ЛПП, gnupg зависит от libgcrypt, который никакого отношения к gnutls не имеет.

    > Я не проверял...

    Оно и заметно.

     
     
  • 6.23, Аноним (10), 12:57, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот libgcrypt (являющийся частью gnupg и взаимно-зависящий от gnupg) от gnutls-то как раз и не зависит.
     
     
  • 7.47, timur.davletshin (ok), 17:25, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разупорись и начни уже логически связный текст писать.
     
  • 3.15, Аноним (7), 12:14, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Жырнолис единственный нормальный браузер.
     
     
  • 4.17, timur.davletshin (ok), 12:16, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Жырнолис единственный нормальный браузер.

    Да, только управление сертификатами в NSS не самое удобное и заставить юзать единую базу для Libreoffice, Evolution, Firefox ещё надо постараться.

     
     
  • 5.42, Kuromi (ok), 15:28, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это потому что парадигма Мозиллы - все свою нашу с собой, независимость от системы.
     
     
  • 6.48, timur.davletshin (ok), 17:28, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Плохая парадигма для дистрибов особенно. Если есть в системе libnss, то собирать надо с ним, а не тащить ещё одну копию с собой в /usr/lib/firefox.
     
     
  • 7.50, Kuromi (ok), 18:44, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Плохая парадигма для дистрибов особенно. Если есть в системе libnss, то собирать
    > надо с ним, а не тащить ещё одну копию с собой
    > в /usr/lib/firefox.

    Не пойдет, NSS разрабатывается в тесной синхронизации с разработкой ФФ и с прямым учетом его нужд. В Багзилле главный разработчик NSS (это как бы другие люди) один раз уже прям говорил что его "непосредственным потребителем" является ФФ и именно хотелки разработчиков ФФ имеют первейшее значение. Когда в ФФ решили встроить ESNI с DOH то NSS дорабатывали под эти кейсы.

    Что до остальных пользователей, то это обычно слегка "специфический"софт, все таки даже Либра не особо то хорошо вписывается в систему, тоже комбайн в себе.

     
     
  • 8.58, timur.davletshin (ok), 06:28, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Т е 10 лет назад отвязать libxul и libnss выходило, а сейчас не выходит Если A... текст свёрнут, показать
     
     
  • 9.63, Kuromi (ok), 15:43, 31/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть вам напомнить еще как они одно время Xulrunner продвигали и даже план... текст свёрнут, показать
     
  • 4.27, Аноним (27), 13:16, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да. Никто столько телеметрии и близко не отправляет.
     
     
  • 5.29, Аноним (29), 13:18, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Столько мало ни один из браузеров не отправляет. А браузеров то сейчас по факту два.
     
  • 3.26, Иван_Лох (?), 13:12, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    apt-cache rdepends libgnutls* |grep -v -e Reverse -e libgnutls -e '-dev'|sed -e 's/[[:digit:]]\+$//'|sort|uniq|wc -l

    263

     
     
  • 4.28, Иван_Лох (?), 13:17, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    apt-cache rdepends libssl* |grep -v -e Reverse -e libssl -e '-dev'|sed -e 's/[[:digit:]]\+$//'|sort|uniq|wc -l
    940

    apt-cache rdepends libnss* |grep -v -e Reverse -e libnss -e '-dev'|sed -e 's/[[:digit:]]\+$//'|sort|uniq|wc -l
    120

     
  • 4.30, Аноним (10), 13:18, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Бротишка, дистропроблемы. Это вариант "для бедных". Как правило, у нормальных проектов несколько опциональных зависимостей, на выбор. А гнутлс местами проще, но с ним работать не так, как с опенссл -- поддерживать сборку с ним придётся совершенно отдельно.
     

  • 1.13, Доцент (?), 12:13, 30/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вот они зря решили делать. Получат снижение рейтинга.
     
     
  • 2.16, Аноним (7), 12:14, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато останутся только лояльные, который будут орать как всё здорово. Это так же как с макос.  
     
  • 2.66, Аноним (66), 23:56, 03/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Белки-истерички, бегущие из-за сугубо технической и никак не влияющей на бизнес-процесс мелочи не нужны а любом бизнесе. А на рейтинг дистровотча так-то пофиг.
     

  • 1.20, ryoken (ok), 12:47, 30/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, с целью повышения уровня образованности. А какая последняя официальная версия сабжа (Fedora) ? на выходных качал с офф-сайта - так оно и вовсе 36... А 37 и 38 тогда - что? Типа дебовских testing/unstable?
     
     
  • 2.31, Аноним (7), 13:27, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    37 это development 38 это навершие rawhide. Rawhide это что-то типа арча.
     
     
  • 3.34, ryoken (ok), 13:42, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > 37 это development 38 это навершие rawhide. Rawhide это что-то типа арча.

    "As a Rawhide consumer, you should:

    Be willing to update on an almost daily basis. Rawhide gets hundreds of updates a day, and applying those updates on a regular basis allows you to more easily isolate when a bug appeared and what package(s) are responsible."

    А, так это типа Devuan Ceres :). Не знал, его и надо было сразу ставить :). Киньте ссылкой на мануал по переезду плз (люблю прыгать по граблям в неосновной ОСи :D ).

     
     
  • 4.35, Аноним (7), 13:46, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хз что такое инструкция качаешь отсюда iso https://mirror.yandex.ru/fedora/linux/development/rawhide/Workstation/x86_64/i дальше некст некст некст и поехали.  
     
     
  • 5.37, ryoken (ok), 14:01, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Хз что такое инструкция качаешь отсюда iso https://mirror.yandex.ru/fedora/linux/development/rawhide/Workstation/x86_64/i
    > дальше некст некст некст и поехали.

    Уже установлена система, вопрос как репу сменить\апгрейдиться.

     
     
  • 6.39, Аноним (39), 15:06, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    dnf install dnf-plugin-system-upgrade

    dnf system-upgrade download --releasever=rawhide

     
     
  • 7.45, ryoken (ok), 16:38, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > dnf install dnf-plugin-system-upgrade
    > dnf system-upgrade download --releasever=rawhide

    В результате сего - оно все пакеты переопахивать станет? :)
    Ну и кто в курсе - насколько много граблей полезет? Жить на этой системе вообще можно или  каждый день радости будут? :)

     
     
  • 8.46, Аноним (39), 17:16, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    все жить можно, но если не рьяный тестировщик, смысла мало, последней версии и т... текст свёрнут, показать
     
  • 4.36, Аноним (7), 13:52, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я кажется понял тебе надо что-то типа https://www.reddit.com/r/Fedora/comments/a37mv8/want_to_switch_to_rawhide_30_f
     
  • 2.53, Аноним (53), 20:59, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > какая последняя официальная версия сабжа (Fedora) ?

    https://ibb.co/bHz01BK

    https://ibb.co/JjRt8p7

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру