#系统资讯 Linux Kernel 6.14 合并的最新代码将内核模块签名算法由默认的 SHA1 改成 SHA512 从而提高安全性。SHA1 算法因为存在弱点正在逐渐被弃用，所以现在 Linux 内核也不再默认使用 SHA1 算法，但仍然支持该算法。查看全文：https://ourl.co/107685

目前已经有不少 Linux 发行版开发商将内核从默认的 SHA1 签名改成 SHA512 签名，不过 Linux Kernel 此前默认使用的还是 SHA1 算法进行内核模块签名。

随着内核版本的开发，在 Linux Kernel 6.14 版中内核也开始默认使用 SHA512 算法进行签名，相较于 SHA1 算法这可以显著提高安全性。

在最新合并到 Linux Kernel 6.14 中的代码，内核现在默认使用 SHA512 但仍然支持 SHA1，前者更现代、更安全也可以抵御攻击，SHA1 算法因为存在弱点正在逐渐被弃用。

切换到 SHA512 算法后，后续某些 Linux 发行版使用的 OpenSSL 在尝试使用 SHA1 签名内核模块时也会出错从而导致内核构建失败。

不过随着时间的推移后续 SHA512 算法会变成主流，至少在 Linux 内核中 SHA512 会变成主流，所以在内核版本构建上面不会有太大问题。

附合并的内核代码：

diff --git a/kernel/module/Kconfig b/kernel/module/Kconfig
index 7c6588148d42d3..0c746a150e34e2 100644
--- a/kernel/module/Kconfig
+++ b/kernel/module/Kconfig
@@ -231,6 +231,7 @@ comment "Do not forget to sign required modules with scripts/sign-file"
choice	prompt "Hash algorithm to sign modules"	depends on MODULE_SIG || IMA_APPRAISE_MODSIG
+	default MODULE_SIG_SHA512	help This determines which sort of hashing algorithm will be used during signature generation. This algorithm _must_ be built into the kernel
base-commit: d3d1556696c1a993eec54ac585fe5bf677e07474
--
2.45.0