Linuxeden开源社区本周发布到 Linux 内核邮件列表的补丁试图移除用于签名内核模块的 SHA1 支持。这是行业更大范围努力的一部分,旨在因 SHA1 存在哈希碰撞漏洞且已有更优越的哈希算法可用而逐渐弃用 SHA1。
SUSE 工程师 Petr Pavlu 本周发布了移除 Linux 内核中模块签名 SHA1 支持的补丁集。他在该补丁系列中注明:
“由于存在可能导致哈希碰撞的漏洞,SHA-1 被认为已过时且不安全。大多数发行版已经因为这一点而使用 SHA-2 进行模块签名。去年默认值也从 SHA-1 更改为 SHA-512(在 f3b93547b91a (“module: 默认使用 sha512 而不是 sha1 进行签名” 中)。这并未报告引起任何问题。因此,现在似乎是一个移除模块签名 SHA-1 支持的好时机。
查看几个发行版的配置,似乎只有 Android 仍然使用 SHA-1 进行模块签名。”
这相当直接,也是移除内核模块签名 SHA1 支持的好时机。此外,谷歌也跟进表示,SHA1 模块签名实际上在 Android 上并未使用,且对其移除没有异议。Android 也不依赖模块签名来保障安全,而是仅用于区分模块类型。
该补丁系列移除了 Linux 内核中的 SHA1 模块签名支持,减少了不安全 SHA1 在现实世界中的使用。
转自 Linux Looks To Remove SHA1 Support For Signing Kernel Modules – Phoronix