В Linux 7.0 удалена поддержка подписи модулей ядра с использованием SHA-1.

В ядре Linux 7.0 официально удалена поддержка подписи модулей ядра с использованием алгоритма SHA-1, поскольку многие считают, что этот алгоритм больше не является безопасным, хотя существующие модули, подписанные с помощью SHA-1, все еще можно загружать. Это изменение, которое было включено в ветку Linux 7.0 как часть обновления подсистемы модулей, знаменует собой новый шаг в усилиях ядра по усилению безопасности цепочки поставок и механизмов подписи.

Еще несколько месяцев назад сообщество обсуждало и предлагало исправления, позволяющие полностью отказаться от поддержки сигнатур модулей SHA-1 в ядре. В то время этот алгоритм был помечен как устаревший в основном ядре, и его риск коллизий также был широко подтвержден в области безопасности. В отчете отмечается, что основные производители дистрибутивов Linux перешли на более современные и более безопасные алгоритмы хэширования в реальных продуктах, а ядро ​​также по умолчанию использует SHA-512 для подписей модулей, начиная с версии 6.11.

Мейнтейнер кратко изложил суть этой корректировки в кратком объяснении в мерж-реквесте: поддержка подписи модуля SHA-1 удалена, поскольку уязвимости в этом алгоритме могут привести к коллизиям хэшей, и ни один крупный дистрибутив в настоящее время не использует SHA-1 для подписи модулей; в то же время, начиная с версии 6.11, ядро ​​переключило алгоритм по умолчанию на SHA‑512. Стоит отметить, что хотя новые модули больше не могут быть подписаны с использованием SHA-1, загрузка существующих модулей, подписанных SHA-1, по-прежнему разрешена, что оставляет определенный буфер между безопасностью и совместимостью.

Мерж-реквесты, связанные с модулями, были успешно включены в Linux 7.0, не встретив существенного сопротивления. Эта настройка отражает недавнюю непрерывную эволюцию ядра с точки зрения планировщика, графического драйвера, подсистемы ввода-вывода и т. д. и вместе отражает ритм обновлений Linux 7.0 в двух направлениях: производительности и безопасности.

Похожие статьи:

Линус Торвальдс подтверждает, что следующей версией ядра будет Linux 7.0

Linux 7.0 положит конец «экспериментальному периоду» Rust