安全性が低いことが判明してからずいぶんと時間が経過しているにもかかわらず、あまりにも広い範囲で使用されているために、なかなか非実装化が進まない暗号化アルゴリズム「SHA-1」だが、ようやくメジャーなLinuxディストリビューションからサポート中止の動きが出はじめた。
11月24日(米国時間)、Debian開発者であり、UbuntuプロジェクトのメンバーでもあるJulian Andres Klodeは、Ubuntu開発者向けのメーリングリストにおいて、2017年1月1日からAPTレポジトリに対するSHA-1サポートをデフォルトで中止すると発表した。これに伴い、SHA-1ベースのGPG署名もサポート中止の対象となる。
- Rejecting SHA1-signed repositories by default (Ubuntu edition)
SHA-1のサポート中止は、現在開発中の「Ubuntu 17.04(開発コード: Zesty Zapus)」にも適用されるほか、現行バージョンであるUbuntu16.10やUbuntu 16.04でも1月1日から徐々に進められていくという。なお、Ubuntu 17.04のレポジトリには、SHA-1をデプリケートしたAPT 1.4のベータ版(近日リリース)が使われる予定だ。
今回のUbuntuによるSHA-1サポート中止により、アップストリームであるDebianや、KubuntuやXubuntuといったUbuntuの派生ディストリビューションでも同様の議論が起こりそうだ。