Fedora Linux chce zaostrzyć ulepszy swoje polityki kryptograficzne w przyszłorocznych wydaniach Fedory 38/39, ale w przypadku Fedory 37 jeszcze w tym roku prawdopodobnie zaczną ostrzegać użytkowników o planowanych zmianach.
Najnowsza propozycja zmian w Fedorze 37 tej jesieni zauważa: „Polityki kryptograficzne zostaną zaostrzone w Fedorze 38-39, podpisy SHA-1 nie będą już domyślnie zaufane. Fedora 37 nie zawiera żadnych zmian wartości domyślnych , a ta zmiana Fedory jest ostrzeżeniem złożonym z wyprzedzeniem, aby uzyskać dodatkową widoczność.Przetestuj swoją konfigurację za pomocą FUTURE już dziś i zgłoś błędy, aby nie dać się zwieść Fedorze 38-39… Flagowa zmiana tym razem będzie nieufna dla sygnatur SHA-1 na poziomie bibliotek kryptograficznych, wpływając nie tylko na TLS. OpenSSL domyślnie zacznie blokować tworzenie i weryfikację podpisów, przy czym przewiduje się, że efekt końcowy będzie wystarczająco szeroki, abyśmy mogli wprowadzić zmianę w wielu cyklach z wieloma ostrzeżeniami.W Fedorze 36, 37 a 38 wydanych nieufnych sygnatur SHA-1 zostanie włączonych. W Fedorze 38 rawhide i Fedora 39 nieufne sygnatury SHA-1 będą domyślnie stosowane.”
Nadchodzące zmiany w polityce kryptograficznej obejmują w szczególności nieufne podpisy SHA-1. Ponieważ sygnatury SHA-1 wciąż są dostępne i używane, plan w Fedorze 37 polega na ostrzeganiu użytkowników/administratorów w przypadku napotkania takich sygnatur. Polityka „przyszłości” będzie wymagać skrótów SHA-256 lub lepszych dla podpisów, wszystkich HDMAC z SHA-256 lub lepszych dla MAC, co najmniej 256-bitowych kluczy dla szyfrów i innych zaostrzeń w imię zapewnienia bardziej niezawodnego bezpieczeństwa.
Więcej szczegółów na temat planowanych zmian bezpieczeństwa i ostrzeżeń, które mogą pojawić się w Fedorze 37, można znaleźć w wiki Fedory .
