Кто ты такой и почему ядро Linux должно тебе верить?» Этот вопрос перестал быть шуткой — и сообщество придумало ответ
NewsMakerПодписи в Git останутся, но проверять личность мейнтейнеров и авторов патчей хотят через новый слой децентрализованного доверия.
Кто ты такой и почему ядро Linux должно тебе верить?» В сообществе разработчиков ядра такой вопрос давно перестал быть шуткой. После истории с xz Utils и других тревожных эпизодов сопровождающие Linux всерьёз ищут новый способ подтверждать личности участников и проверять происхождение кода без старой, тяжёлой и неудобной схемы с PGP (Pretty Good Privacy, стандарт шифрования с открытым ключом).
Много лет разработчики ядра полагались на PGP. Подписи в Git помогали подтверждать целостность репозиториев и защищали от подмены авторов коммитов. После взлома kernel.org в 2011 году сообщество даже специально «перезапустило» доверие через очную сессию подписания ключей на Kernel Summit, чтобы укрепить систему. Подход работал, но со временем накопил слишком много проблем.
Сейчас путь к аккаунту на kernel.org для нового мейнтейнера выглядит как бюрократический квест по всему миру. Нужно найти человека внутри паутины доверия PGP, встретиться лично, показать удостоверение личности и получить подпись ключа. Грег Кроа-Хартман на саммите Linux Foundation прямо назвал процесс болезненным в сопровождении и управлении. Команда ведёт учёт скриптами вручную, ключи устаревают, а публичная карта «кто где живёт» добавляет риски для приватности и социальной инженерии .
На смену такой схеме готовят новую систему, которую в материале называют Linux ID. Идею представили руководители направления децентрализованного доверия в Linux Foundation Даниэла Барбоза и Харт Монтгомери вместе с Гленном Гором, генеральным директором компании Affinidi. Цель простая и одновременно амбициозная: дать сообществу способ подтверждать личность разработчика и подлинность его цифровых действий без хрупких очных «вечеринок подписей» и случайных видеозвонков.
Кто ты такой и почему ядро Linux должно тебе верить?» В сообществе разработчиков ядра такой вопрос давно перестал быть шуткой. После истории с xz Utils и других тревожных эпизодов сопровождающие Linux всерьёз ищут новый способ подтверждать личности участников и проверять происхождение кода без старой, тяжёлой и неудобной схемы с PGP (Pretty Good Privacy, стандарт шифрования с открытым ключом).
Много лет разработчики ядра полагались на PGP. Подписи в Git помогали подтверждать целостность репозиториев и защищали от подмены авторов коммитов. После взлома kernel.org в 2011 году сообщество даже специально «перезапустило» доверие через очную сессию подписания ключей на Kernel Summit, чтобы укрепить систему. Подход работал, но со временем накопил слишком много проблем.
Сейчас путь к аккаунту на kernel.org для нового мейнтейнера выглядит как бюрократический квест по всему миру. Нужно найти человека внутри паутины доверия PGP, встретиться лично, показать удостоверение личности и получить подпись ключа. Грег Кроа-Хартман на саммите Linux Foundation прямо назвал процесс болезненным в сопровождении и управлении. Команда ведёт учёт скриптами вручную, ключи устаревают, а публичная карта «кто где живёт» добавляет риски для приватности и социальной инженерии .
На смену такой схеме готовят новую систему, которую в материале называют Linux ID. Идею представили руководители направления децентрализованного доверия в Linux Foundation Даниэла Барбоза и Харт Монтгомери вместе с Гленном Гором, генеральным директором компании Affinidi. Цель простая и одновременно амбициозная: дать сообществу способ подтверждать личность разработчика и подлинность его цифровых действий без хрупких очных «вечеринок подписей» и случайных видеозвонков.