Schon länger macht sich die Linux Foundation Sorgen um die Sicherheit des Codes in der Kernel-Entwicklung und macht Werbung für PGP-signierte Git-Tags und Commits. Kernel-Entwickler können nun auch kostenlos Kryptohardware bestellen.
Dreh- und Angelpunkt der signierten Code-Commits sind die PGP-Keys, die gewöhnlich auf den Rechnern der Entwickler lagern. Fallen sie Angreifern in die Hände, können diese unter Umständen eigene Commits in den Kernel-Entwicklungsprozess einschleusen, falls der Subsystem-Maintainer nicht so genau hinschaut.
Diese Schlüssel will die Linux Foundation laut einem Blogpost nun besser schützen. Nicht nur bieten sie neuerdings einen PGP-Guide für Kernel Maintainer an, der die Rolle der Verschlüsselungssoftware in der Kernelentwicklung im Detail beschreibt. In Partnerschaft mit dem Berliner Unternehmen Nitrokey dürfen Kernel-Entwickler auch kostenlos einen Nitrokey Start bestellen, der dann den PGP-Schlüssel sicher in einem USB-Stick aufbewahrt.
Nur für Kernel-Entwickler
Das Angebot gilt für Kernel-Entwickler, die im Maintainers-File auftauchen oder über einen Account auf Kernel.org verfügen. Der Schlüssel lässt sich nur dann auslesen, wenn der Nutzer den USB-Stick an seinen Computer steckt und zur Schlüsselfreigabe einen PIN angibt. Nach sechs Fehlversuchen sperrt sich der Nitrokey Start automatisch, was Brute-Force-Angriffe verhindern soll. In diesem Fall muss der User den Key dann über ein zuvor angelegtes Backup wiederherstellen.
Update [6.4.]: Git-Commits sind signiert, nicht verschlüsselt. Ein Wort geändert (kki).






