O kernel Linux 7.0 removeu oficialmente o suporte para assinatura de módulos do kernel usando o algoritmo SHA-1, já que o algoritmo não é mais considerado confiável e seguro, embora os módulos existentes assinados com SHA-1 ainda possam ser carregados. Esta mudança, que foi incorporada ao ramo Linux 7.0 como parte de uma atualização do subsistema de módulo, marca um novo passo nos esforços do kernel para fortalecer a segurança da cadeia de suprimentos e os mecanismos de assinatura.

Há vários meses, a comunidade discutiu e propôs patches para eliminar completamente o suporte para assinaturas de módulos SHA-1 no kernel. Naquela época, esse algoritmo havia sido marcado como obsoleto no kernel da linha principal e seu risco de colisão também foi amplamente confirmado na área de segurança. O relatório apontou que os principais fabricantes de distribuição Linux mudaram para algoritmos de hash mais modernos e seguros em produtos reais, e o lado do kernel também usou SHA-512 por padrão para assinaturas de módulos a partir da versão 6.11.

O mantenedor resumiu o núcleo deste ajuste em uma explicação concisa na solicitação de mesclagem: o suporte à assinatura do módulo SHA-1 foi removido porque vulnerabilidades neste algoritmo podem levar a colisões de hash, e nenhuma grande distribuição atualmente usa SHA-1 para assinatura do módulo; ao mesmo tempo, o kernel mudou o algoritmo padrão para SHA-512 desde a v6.11. Vale a pena notar que, embora novos módulos não possam mais ser assinados usando SHA-1, o carregamento de módulos assinados SHA-1 existentes ainda é permitido, o que deixa um certo buffer entre segurança e compatibilidade.

Solicitações de mesclagem relacionadas a módulos foram incorporadas com sucesso ao Linux 7.0 sem encontrar resistência substancial. Este ajuste ecoa a recente evolução contínua do kernel em termos de agendador, driver gráfico, subsistema IO, etc., e juntos reflete o ritmo de atualização do Linux 7.0 nas direções duplas de desempenho e segurança.

Artigos relacionados:

Linus Torvalds confirma que a próxima versão do kernel será Linux 7.0

Linux 7.0 encerrará o “período experimental” de Rust