Le noyau Linux 7.0 a officiellement supprimé la prise en charge de la signature des modules du noyau à l'aide de l'algorithme SHA-1, car cet algorithme est largement considéré comme n'étant plus fiable en termes de sécurité, bien que les modules existants signés avec SHA-1 puissent toujours être chargés. Ce changement, qui a été fusionné dans la branche Linux 7.0 dans le cadre d'une mise à jour du sous-système de module, marque une nouvelle étape dans les efforts du noyau pour renforcer la sécurité de la chaîne d'approvisionnement et les mécanismes de signature.

Il y a déjà plusieurs mois, la communauté avait discuté et proposé des correctifs pour abandonner complètement la prise en charge des signatures de module SHA-1 dans le noyau. À cette époque, cet algorithme avait été marqué comme obsolète dans le noyau principal, et son risque de collision était également largement confirmé dans le domaine de la sécurité. Le rapport souligne que les principaux fabricants de distribution Linux sont passés à des algorithmes de hachage plus modernes et plus sécurisés dans les produits actuels, et que le côté noyau a également utilisé SHA‑512 par défaut pour les signatures de modules à partir de la version 6.11.

Le responsable a résumé l'essentiel de cet ajustement dans une explication concise dans la demande de fusion : la prise en charge de la signature du module SHA-1 est supprimée car les vulnérabilités de cet algorithme peuvent conduire à des collisions de hachage, et aucune distribution majeure n'utilise actuellement SHA-1 pour la signature des modules ; dans le même temps, le noyau a basculé l'algorithme par défaut vers SHA‑512 depuis la v6.11. Il convient de noter que même si les nouveaux modules ne peuvent plus être signés à l'aide de SHA-1, le chargement de modules signés SHA-1 existants est toujours autorisé, ce qui laisse un certain tampon entre sécurité et compatibilité.

Les demandes de fusion liées aux modules ont été intégrées avec succès dans Linux 7.0 sans rencontrer de résistance substantielle. Cet ajustement fait écho à l'évolution continue récente du noyau en termes de planificateur, de pilote graphique, de sous-système IO, etc., et reflète ensemble le rythme de mise à jour de Linux 7.0 dans la double direction de performances et de sécurité.

Articles connexes :

Linus Torvalds confirme que la prochaine version du noyau sera Linux 7.0

Linux 7.0 mettra fin à la « période expérimentale » de Rust