Der Linux 7.0-Kernel hat die Unterstützung für das Signieren von Kernelmodulen mit dem SHA-1-Algorithmus offiziell entfernt, da der Algorithmus allgemein als nicht mehr zuverlässig gilt, obwohl vorhandene, mit SHA-1 signierte Module weiterhin geladen werden können. Diese Änderung, die im Rahmen eines Modul-Subsystem-Updates in den Linux 7.0-Zweig integriert wurde, markiert einen neuen Schritt in den Bemühungen des Kernels, die Sicherheit der Lieferkette und die Signaturmechanismen zu härten.

Bereits vor einigen Monaten hatte die Community Patches diskutiert und vorgeschlagen, um die Unterstützung für SHA-1-Modulsignaturen im Kernel vollständig einzustellen. Zu diesem Zeitpunkt war dieser Algorithmus im Mainline-Kernel als veraltet markiert und sein Kollisionsrisiko wurde auch im Sicherheitsbereich weitgehend bestätigt. In dem Bericht wurde darauf hingewiesen, dass Mainstream-Hersteller von Linux-Distributionen in tatsächlichen Produkten auf modernere und sicherere Hash-Algorithmen umgestiegen sind und die Kernel-Seite ab Version 6.11 auch standardmäßig SHA-512 für Modulsignaturen verwendet hat.

Der Betreuer hat den Kern dieser Anpassung in einer prägnanten Erklärung im Merge-Request zusammengefasst: Die SHA-1-Modulsignaturunterstützung wurde entfernt, da Schwachstellen in diesem Algorithmus zu Hash-Kollisionen führen können und keine größere Distribution derzeit SHA-1 für die Modulsignatur verwendet; Gleichzeitig hat der Kernel seit v6.11 den Standardalgorithmus auf SHA-512 umgestellt. Es ist erwähnenswert, dass neue Module zwar nicht mehr mit SHA-1 signiert werden können, das Laden bestehender SHA-1-signierter Module jedoch weiterhin zulässig ist, wodurch ein gewisser Puffer zwischen Sicherheit und Kompatibilität verbleibt.

Modulbezogene Zusammenführungsanforderungen wurden erfolgreich in Linux 7.0 integriert, ohne auf nennenswerten Widerstand zu stoßen. Diese Anpassung spiegelt die jüngste kontinuierliche Weiterentwicklung des Kernels in Bezug auf Scheduler, Grafiktreiber, IO-Subsystem usw. wider und spiegelt zusammen den Update-Rhythmus von Linux 7.0 in den beiden Richtungen Leistung und Sicherheit wider.

Verwandte Artikel:

Linus Torvalds bestätigt, dass die nächste Kernel-Version Linux 7.0 sein wird

Linux 7.0 wird Rusts „experimentelle Phase“ beenden