تصحيحات نواة لينكس تقترح إزالة SHA-1 لتوقيع الوحدات

مجتمع نواة لينكس يتقدم في الأمان من خلال اقتراح تصحيحات للقضاء تدريجيًا على دعم SHA-1 لتوقيع وحدات النواة. بيتر بافلو، مؤلف التصحيحات، نشر السلسلة إلى قائمة بريد نواة لينكس هذا الأسبوع، كما أفاد موقع Phoronix. قال بافلو: “يُعتبر SHA-1 مهملًا وغير آمن بسبب الثغرات التي يمكن أن تؤدي إلى تصادمات الهاش”.

تتبع هذه المبادرة سنوات من التحذيرات بشأن ضعف SHA-1، خاصة بعد أن أظهر الباحثون هجمات تصادم عملية في عام 2017. محاولة سابقة لإزالة دعم SHA-1 عبر الالتزام 16ab7cb5825f تم إلغاؤها بسبب مشكلات التوافق مع أدوات مثل iwd. في العام الماضي، تحول الخوارزمية الافتراضية للتوقيع إلى SHA-512 في الالتزام f3b93547b91a دون مشكلات كبيرة، ممهدة الطريق للإهمال الكامل.

تتكون التصحيحات من تغييرين رئيسيين. الأول يعدل Kconfig الوحدات في النواة لإزالة خيارات SHA-1، مشيرًا إلى الالتزام المُلغى السابق. الثاني يستهدف أداة sign-file، محذوفًا دعم PKCS#7، الذي كان محدودًا بـSHA-1. أوضح جيمس بوتوملي في رد على قائمة البريد: “CMS حقًا هو PKCS7 ومعظم الأدبيات تشير إلى CMS كـPKCS7”، مشيرًا إلى أن التحديث يُهمِل واجهة برمجة تطبيقات قديمة.

لقد اعتمدت معظم التوزيعات الرئيسية للينكس بالفعل SHA-2 لتوقيع الوحدات. ومع ذلك، يتأخر أندرويد، مستخدمًا SHA-1 افتراضيًا لصورة النواة العامة (GKI). لاحظ سامي على قائمة البريد: “بشكل عام، لا يعتمد أندرويد على توقيع الوحدات للأمان، يُستخدم فقط للتمييز بين أنواع الوحدات”. تركز التصحيحات على إسقاط SHA-1 للتوقيعات الجديدة مع السماح بتحميل القائمة.

تواجه التنفيذ عقبات طفيفة، بما في ذلك تعارض مع سلسلة مستمرة لدعم ML-DSA. اعترف بافلو: “التصحيح الثاني لديه تعارض طفيف مع تحديث sign-file في السلسلة ‘lib/crypto: Add ML-DSA’”. كانت ردود الفعل من المجتمع على منصات مثل X إيجابية، مع إعلان Phoronix: “لينكس يسعى لإزالة دعم SHA1 لتوقيع وحدات النواة. حان الوقت للانتقال إلى خوارزميات هاش أكثر أمانًا”. تهدف هذه التغييرات إلى تعزيز الأمان في بيئات مثل الخوادم والأنظمة المضمنة من خلال تقليل مخاطر التوقيعات المزيفة.