Linux 7.0内核正式移除对使用SHA‑1算法为内核模块进行签名的支持,原因是该算法已被普遍认为在安全性上不再可靠,不过已使用SHA‑1签名的现有模块仍然可以被加载。这项变更作为模块子系统更新的一部分已经合入Linux 7.0分支,标志着内核在加固供应链安全和签名机制方面迈出新一步。
`��S"W8_m� 
G/v|!}?wG 早在数月之前,社区就已经讨论并提出补丁,计划在内核中彻底放弃对SHA‑1模块签名的支持,当时这一算法已在主线内核中被标记为弃用,其碰撞风险也在安全领域得到了广泛证实。报道指出,主流Linux发行版厂商已经在实际产品中转向更现代、更安全的哈希算法,内核侧也在6.11版本起默认使用SHA‑512进行模块签名。
�S�HMl%mw� c���{�1V. 维护者在合入请求中用简洁的说明概括了此次调整的核心:移除SHA‑1模块签名支持,是因为针对该算法的漏洞可以导致哈希碰撞,而当下没有任何主要发行版还在使用SHA‑1进行模块签名;同时,内核自v6.11起已将默认算法切换为SHA‑512。值得注意的是,虽然无法再使用SHA‑1对新模块进行签名,但加载已有的SHA‑1签名模块仍是被允许的,这在安全与兼容之间保留了一定缓冲空间。
hVMY��B_<~ Q]< (bD.7� 模块相关的合入请求已经顺利并入Linux 7.0,未遭遇实质性阻力。这一调整与近期内核在调度器、图形驱动、IO子系统等方面的持续演进相呼应,共同体现出Linux 7.0在性能与安全双重方向上的更新节奏。
@Z�?7E8(�
微博帐号登录