Fedora Linux envisage de renforcer ses politiques cryptographiques avec les versions Fedora 38/39 de l’année prochaine, mais pour Fedora 37 plus tard cette année, ils commenceront probablement à avertir les utilisateurs des changements prévus.
La dernière proposition de changement pour Fedora 37 cet automne note :”Les politiques de chiffrement seront renforcées dans Fedora 38-39, les signatures SHA-1 ne seront plus approuvées par défaut. Fedora 37 n’apporte spécifiquement aucun changement de valeurs par défaut , et ce changement Fedora est un avertissement avancé déposé pour une visibilité supplémentaire. Testez votre configuration avec FUTURE aujourd’hui et signalez les bogues afin de ne pas vous faire mordre par Fedora 38-39… Le changement phare cette fois sera la méfiance envers les signatures SHA-1 au niveau de la bibliothèque cryptographique, affectant plus que TLS. OpenSSL commencera à bloquer la création et la vérification de signature par défaut, les retombées devant être suffisamment importantes pour que nous puissions déployer le changement sur plusieurs cycles avec plusieurs avertissements. Dans Fedora 36, 37 et 38 signatures SHA-1 méfiantes publiées seront opt-in. Dans Fedora 38 cuir brut et Fedora 39 signatures SHA-1 méfiantes se produiront par défaut.
Les modifications à venir de la politique de chiffrement incluent notamment la méfiance envers les signatures SHA-1. Étant donné que les signatures SHA-1 sont toujours disponibles et utilisées, le plan avec Fedora 37 est d’avertir les utilisateurs/administrateurs lorsqu’ils rencontrent de telles signatures. La”future”politique exigera des hachages SHA-256 ou mieux pour les signatures, tous les HDMAC avec SHA-256 ou mieux pour les MAC, des clés d’au moins 256 bits pour les chiffrements et d’autres resserrements au nom d’une sécurité plus robuste.
Plus de détails sur ces changements de sécurité prévus et les avertissements qui pourraient apparaître dans Fedora 37 peuvent être trouvés via le Fedora Wiki .
