Pengembang telah mengirimkan patch ke kernel Linux untuk menghilangkan dukungan bagi algoritma hashing SHA-1 yang tidak aman dalam penandatanganan modul kernel. Langkah ini mengatasi kerentanan yang diketahui seperti serangan tabrakan yang ditunjukkan pada 2017. Perubahan ini dibangun di atas upaya sebelumnya untuk meningkatkan keamanan kernel.
Komunitas kernel Linux sedang memajukan keamanan dengan mengusulkan patch untuk menghapus secara bertahap dukungan SHA-1 untuk penandatanganan modul kernel. Petr Pavlu, penulis patch, memposting seri tersebut ke daftar email kernel Linux minggu ini, seperti yang dilaporkan oleh Phoronix. Pavlu menyatakan: “SHA-1 dianggap usang dan tidak aman karena kerentanan yang dapat menyebabkan tabrakan hash.”
Inisiatif ini mengikuti tahun-tahun peringatan tentang kelemahan SHA-1, terutama setelah peneliti menunjukkan serangan tabrakan praktis pada 2017. Upaya sebelumnya untuk menghapus dukungan SHA-1 melalui commit 16ab7cb5825f dibatalkan karena masalah kompatibilitas dengan alat seperti iwd. Tahun lalu, algoritma penandatanganan default beralih ke SHA-512 dalam commit f3b93547b91a tanpa masalah besar, membuka jalan untuk depresiasi penuh.
Patch terdiri dari dua perubahan utama. Yang pertama memodifikasi Kconfig modul kernel untuk menghapus opsi SHA-1, merujuk pada commit yang dibatalkan sebelumnya. Yang kedua menargetkan utilitas sign-file, menghilangkan dukungan PKCS#7, yang terbatas pada SHA-1. James Bottomley menjelaskan dalam respons daftar email: “CMS benar-benar adalah PKCS7 dan sebagian besar literatur akan merujuk CMS sebagai PKCS7,” mencatat bahwa pembaruan tersebut mendepresiasi API yang usang.
Sebagian besar distribusi Linux utama sudah mengadopsi SHA-2 untuk penandatanganan modul. Namun, Android tertinggal, menggunakan SHA-1 secara default untuk Generic Kernel Image (GKI)-nya. Sami mencatat di daftar email: “Secara keseluruhan, Android tidak bergantung pada penandatanganan modul untuk keamanan, itu hanya digunakan untuk membedakan antara jenis modul.” Patch fokus pada penghapusan SHA-1 untuk tanda tangan baru sambil mengizinkan yang ada untuk dimuat.
Implementasi menghadapi hambatan kecil, termasuk konflik dengan seri yang sedang berlangsung untuk dukungan ML-DSA. Pavlu mengakui: “Patch kedua memiliki konflik kecil dengan pembaruan sign-file dalam seri ‘lib/crypto: Add ML-DSA’.” Reaksi komunitas di platform seperti X positif, dengan Phoronix mengumumkan: “Linux Berupaya Menghapus Dukungan SHA1 untuk Penandatanganan Modul Kernel. Saatnya beralih ke algoritma hashing yang lebih aman.” Perubahan ini bertujuan untuk memperkuat keamanan di lingkungan seperti server dan sistem tertanam dengan mengurangi risiko tanda tangan palsu.