Linux 6.7 内核的加密子系统更新包括一些常见的变更,如针对不同 SoC 的各种加密加速更新和其他常规变更,此外还限制了一些不安全和/或过时的加密哈希算法的作用。Linux 6.7 内核降低了 SHA1 的作用。密码 PKCS7 代码已移除 SHA1 支持,这意味着内核模块不再使用 SHA1 签名,也不再导入 SHA1 签名的 X.509 证书。
不过,SHA1 仍会保留在内核中,供不同用途的驱动程序使用,但不再支持签署模块或导入 X.509 证书。SHA256 或更好的算法可用于签署内核模块。
Linux 6.7 加密更新还删除了 X.509 证书和签名中的 MD4 和 MD5 哈希算法和签名。MD4 和 MD5 被视为不安全或已损坏,多年来用户本应使用其他哈希算法。这也可能是内核中 MD4 加密代码的最后一个用户。
Linux 6.7 还放弃了 mscode_parser 中的 SHA-224 authenticode 支持,因为它的成本与 SHA-256 类似,而且 Windows 用于安全启动密钥的身份验证基础架构从不支持 SHA-224。Linux 的所有安全启动密钥也一直至少使用 SHA-256。
以上就是 Linux 6.7 内核合并窗口加密更新的主要亮点。
了解更多: