O Fedora Linux está procurando reforçar suas políticas criptográficas com os lançamentos do Fedora 38/39 do próximo ano, mas para o Fedora 37 ainda este ano eles provavelmente começarão a alertar os usuários sobre as mudanças planejadas.
A última proposta de mudança para o Fedora 37 neste outono observa: "As políticas criptográficas serão reforçadas no Fedora 38-39, as assinaturas SHA-1 não serão mais confiáveis por padrão. O Fedora 37 especificamente não vem com nenhuma mudança de padrão, e esta Fedora Change é um aviso prévio arquivado para visibilidade extra. Teste sua configuração com o FUTURE hoje e arquive bugs para que você não seja mordido pelo Fedora 38-39... A principal mudança desta vez será desconfiar das assinaturas SHA-1 no nível da biblioteca criptográfica, afetando mais do que apenas o TLS. O OpenSSL começará a bloquear a criação e verificação de assinaturas por padrão, com as consequências previstas para serem amplas o suficiente para que possamos implementar a alteração em vários ciclos com vários avisos prévios. No Fedora 36, 37 e 38 lançados desconfiando de assinaturas SHA-1 serão opt-in. No Fedora 38 rawhide e Fedora 39, a desconfiança de assinaturas SHA-1 acontecerá por padrão."
As próximas mudanças na política de criptografia incluem principalmente a desconfiança de assinaturas SHA-1. Devido às assinaturas SHA-1 ainda estarem disponíveis e usadas, o plano com o Fedora 37 é avisar os usuários/administradores quando encontrarem tais assinaturas. A política "futura" irá exigem hashes SHA-256 ou melhor para assinaturas, todos HDMAC com SHA-256 ou melhor para MACs, chaves de pelo menos 256 bits para cifras e outros apertos em nome de garantir uma segurança mais robusta.
Mais detalhes sobre essas mudanças de segurança planejadas e os avisos que podem aparecer no Fedora 37 podem ser encontrados no Fedora Wiki .
Até a próxima !!
Nenhum comentário:
Postar um comentário