Linux 7.0已移除对使用 SHA-1 对内核模块进行签名的支持
摘要:
Linux 7.0 内核正式移除对使用 SHA‑1 算法为内核模块进行签名的支持,原因是该算法已被普遍认为在安全性上不再可靠,不过已使用 SHA‑1 签名的现有模块仍然可以被加载。 这项变更作为模块子系统更新的一部分已经合入 Linux 7.0 分支,标志着内核在加固供应链安全和签名机制方面迈出新一步。
早在数月之前,社区就已经讨论并提出补丁,计划在内核中彻底放弃对 SHA‑1 模块签名的支持,当时这一算法已在主线内核中被标记为弃用,其碰撞风险也在安全领域得到了广泛证实。 报道指出,主流 Linux 发行版厂商已经在实际产品中转向更现代、更安全的哈希算法,内核侧也在 6.11 版本起默认使用 SHA‑512 进行模块签名。
维护者在合入请求中用简洁的说明概括了此次调整的核心:移除 SHA‑1 模块签名支持,是因为针对该算法的漏洞可以导致哈希碰撞,而当下没有任何主要发行版还在使用 SHA‑1 进行模块签名;同时,内核自 v6.11 起已将默认算法切换为 SHA‑512。 值得注意的是,虽然无法再使用 SHA‑1 对新模块进行签名,但加载已有的 SHA‑1 签名模块仍是被允许的,这在安全与兼容之间保留了一定缓冲空间。
模块相关的合入请求已经顺利并入 Linux 7.0,未遭遇实质性阻力。 这一调整与近期内核在调度器、图形驱动、IO 子系统等方面的持续演进相呼应,共同体现出 Linux 7.0 在性能与安全双重方向上的更新节奏。
