Fedora Linux sta cercando di rafforzare migliorare le sue politiche crittografiche con le versioni di Fedora 38/39 del prossimo anno, ma per Fedora 37 entro la fine dell’anno probabilmente inizieranno ad avvisare gli utenti sui cambiamenti pianificati.
L’ultima proposta di modifica per Fedora 37 di quest’autunno rileva:”Le politiche di crittografia saranno rafforzate in Fedora 38-39, le firme SHA-1 non saranno più considerate attendibili per impostazione predefinita. Fedora 37 in particolare non viene fornito con alcuna modifica delle impostazioni predefinite , e questa modifica Fedora è un avviso anticipato depositato per una maggiore visibilità. Testa la tua configurazione con FUTURE oggi e segnala i bug in modo da non essere morso da Fedora 38-39… La modifica di punta questa volta sarà diffidare delle firme SHA-1 a livello di libreria crittografica, interessando qualcosa di più del semplice TLS. OpenSSL inizierà a bloccare la creazione e la verifica della firma per impostazione predefinita, con le ricadute previste abbastanza ampie da consentirci di implementare la modifica su più cicli con più avvisi. In Fedora 36, 37 e 38 firme SHA-1 diffidenti rilasciate saranno accettate. In Fedora 38 rawhide e Fedora 39 le firme SHA-1 diffidenti avverranno per impostazione predefinita.
Le imminenti modifiche alla politica crittografica includono in particolare la diffidenza delle firme SHA-1. Dato che le firme SHA-1 sono ancora disponibili e utilizzate, il piano con Fedora 37 è di avvisare utenti/amministratori quando incontrano tali firme. La politica”futura”richiederà hash SHA-256 o migliori per le firme, tutti gli HDMAC con SHA-256 o migliori per MAC, chiavi almeno a 256 bit per le crittografie e altri inasprimenti nel nome di garantire una sicurezza più solida.
Ulteriori dettagli su queste modifiche alla sicurezza pianificate e gli avvisi che potrebbero apparire in Fedora 37 possono essere trovati tramite il Fedora Wiki .
