Fedora Linux overweegt aanscherping zijn cryptografische beleid opvoeren met de Fedora 38/39-releases van volgend jaar, maar voor Fedora 37 zullen ze later dit jaar waarschijnlijk gebruikers gaan waarschuwen voor de geplande veranderingen.
Het laatste wijzigingsvoorstel voor Fedora 37 dit najaar merkt op:”Cryptografisch beleid zal worden aangescherpt in Fedora 38-39, SHA-1-handtekeningen worden niet langer standaard vertrouwd. Fedora 37 komt specifiek met geen enkele wijziging van standaardinstellingen , en deze Fedora-wijziging is een waarschuwing vooraf voor extra zichtbaarheid. Test je setup vandaag met FUTURE en file bugs zodat je niet wordt gebeten door Fedora 38-39… De vlaggenschipwijziging deze keer zal het wantrouwen van SHA-1-handtekeningen zijn op het niveau van de cryptografische bibliotheek, die meer dan alleen TLS beïnvloedt. OpenSSL zal het aanmaken en verifiëren van handtekeningen standaard gaan blokkeren, waarbij de verwachte gevolgen breed genoeg zullen zijn om de verandering over meerdere cycli uit te rollen met meerdere waarschuwingen vooraf. In Fedora 36, 37 en 38 vrijgegeven wantrouwende SHA-1 handtekeningen zullen opt-in zijn. In Fedora 38 zal rawhide en Fedora 39 standaard het wantrouwen van SHA-1 handtekeningen doen.”
De aanstaande veranderingen in het cryptobeleid omvatten met name het wantrouwen van SHA-1-handtekeningen. Omdat SHA-1-handtekeningen nog steeds beschikbaar zijn en worden gebruikt, is het plan met Fedora 37 om gebruikers/beheerders te waarschuwen wanneer ze dergelijke handtekeningen tegenkomen. Het”toekomstige”beleid vereist SHA-256 hashes of beter voor handtekeningen, alle HDMAC met SHA-256 of beter voor MAC’s, ten minste 256-bits sleutels voor codering en andere aanscherping in de naam van een robuustere beveiliging.
Meer details over deze geplande beveiligingswijzigingen en de waarschuwingen die in Fedora 37 zouden kunnen verschijnen, kunnen worden gevonden via de Fedora Wiki .
