A Linux 7.0 végleg búcsút int az SHA-1-alapú modulaláírásnak

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A közelgő Linux kernel 7.0-s kiadása egy régóta érlelődő biztonsági döntést valósít meg: megszűnik a kernelmodulok SHA-1 algoritmussal történő aláírásának támogatása. Bár a változás elsőre drasztikusnak tűnhet, a gyakorlatban nem okoz kompatibilitási törést, mivel a már meglévő, SHA-1-gyel aláírt modulok továbbra is betölthetők maradnak. A lépés egyértelműen a modern, erősebb kriptográfiai megoldások felé tereli a Linux ökoszisztémát. A döntés hátterében jól ismert biztonsági problémák és iparági trendek állnak.

Az SHA-1 (Secure Hash Algorithm 1) algoritmust már évek óta elavultnak tekinti a szakma, mivel bizonyítottan sérülékeny ütközésekkel (hash collisions) szemben. Ez azt jelenti, hogy elméletileg – és bizonyos esetekben gyakorlatilag is – két különböző tartalomhoz ugyanaz a hash érték rendelhető, ami aláássa a digitális aláírások megbízhatóságát. A Linux kernel fejlesztői ezért már korábban elavultként jelölték az SHA-1-alapú modulaláírást, és hosszabb ideje jelezték annak teljes kivezetését.

A Linux 7.0-ban most megvalósult változtatás technikailag azt jelenti, hogy új kernelmodulokat már nem lehet SHA-1 algoritmussal aláírni. Ugyanakkor a visszamenőleges kompatibilitás megmarad: a rendszer továbbra is képes betölteni azokat a modulokat, amelyek korábban ilyen módon készültek. Ez fontos szempont például régebbi, zárt forráskódú illesztőprogramok vagy archív rendszerek esetében, ahol az újraaláírás nem mindig megoldható.

A fejlesztők indoklása szerint a döntés ma már aligha vitatható, hiszen egyik nagy Linux disztribúció sem használja aktívan az SHA-1-et modulaláírásra. A kernel alapértelmezett beállítása már a 6.11-es verzió óta SHA-512, amely lényegesen erősebb és jelenleg biztonságosnak tekinthető. Emellett egyre nagyobb szerepet kapnak az újabb, posztkvantum megoldások is, például az ML-DSA, amely szintén a Linux 7.0-ban jelenik meg.

A módosításokat tartalmazó modulkezelési frissítés problémamentesen került be a Linux 7.0 főági kódjába. Ez a lépés jól illeszkedik abba az átfogó törekvésbe, amelynek célja a kernel kriptográfiai alapjainak megtisztítása az elavult technológiáktól. A felhasználók számára ez jellemzően nem jár közvetlen teendővel, viszont hosszú távon egy biztonságosabb, jövőállóbb Linux rendszert eredményez.