Les mainteneurs et acteurs techniques du projet explorent une nouvelle approche pour l’identité et l’authentification des contributeurs et des artefacts du noyau. L’objectif est d’augmenter la confiance dans les commits, tags et paquets tout en corrigeant les limitations du web of trust PGP.
Contexte
Depuis des décennies, la communauté du noyau Linux s’appuie sur PGP et le « web of trust » pour identifier les développeurs et valider les artefacts. Ce système a exigé des rencontres physiques (key-signing parties) et une gestion manuelle des clefs, ce qui peut être lourd et fragile. Des incidents passés (comme le piratage de kernel.org en 2011 ou la tentative de backdoor via l’utilitaire xz) ont montré les limites d’un modèle centré sur quelques clefs persistantes.
Ce que proposent les mainteneurs
Les responsables du projet — notamment Daniela Barbosa, Hart Montgomery (Linux Foundation Decentralized Trust) et Glenn Gore (Affinidi) — proposent une architecture fondée sur des standards modernes d’identité décentralisée : DIDs (Decentralized Identifiers), Verifiable Credentials (VCs) et un tissu de messagerie décentralisé (par ex. DIDComm ou REST).
Plutôt que de s’appuyer sur une signature PGP unique et persistante, l’idée est d’associer à un contributeur un ensemble d’attestations cryptographiques émises par des autorités variées et révoquables (administrations publiques si disponibles, employeurs, la Linux Foundation, ou des vérificateurs tiers). Les relations peuvent utiliser des DIDs « pairwise » éphémères pour préserver la vie privée.
Les preuves sont courtes, révoquables et auditables via des journaux de transparence, ce qui complique l’usurpation d’identité durable par un attaquant.
Aspects techniques clefs
- Utilisation de DIDs (par exemple did:web) pour exposer les documents DID et les clés publiques, avec possibilité de réutiliser des clés Curve25519 issues de l’écosystème PGP existant.
- Échange de Verifiable Relationship Credentials (VRCs) pour enregistrer les relations de confiance (date, niveau de confiance, durée).
- Intégration avec des journaux de transparence et des registres de révocation pour assurer la traçabilité des attestations.
- Modèle « issuer-agnostic » et composable : chaque communauté ou projet choisit ses autorités de confiance et ses politiques d’acceptation.
Avantages attendus
- Meilleure protection de la vie privée grâce aux DIDs éphémères qui évitent d’exposer une carte publique des relations des contributeurs.
- Réduction du risque lié aux clés persistantes : la nécessité d’attestations multiples et temporaires augmente le coût pour un attaquant.
- Flexibilité : chaque projet peut définir les niveaux d’identité requis (contributeur occasionnel vs mainteneur core).
- Possibilité de déléguer des droits à des agents ou services automatisés (CI, agents IA) via des identités/attestations séparées et révoquables.
Limites et points d’attention
- Cela n’est pas une solution magique : Linux ID n’empêchera pas toutes les attaques (par exemple, une personne malveillante pouvant accumuler des attestations).
- Complexité d’adoption : migration depuis le web PGP existant, mise en place d’émetteurs de confiance et d’opérateurs de registres de révocation.
- Besoin d’interopérabilité, d’une UX soignée et d’un accompagnement pour faciliter l’adoption par les mainteneurs.
- Questions réglementaires et opérationnelles selon les pays (usage d’identités gouvernementales, protection des données).
État d’avancement et calendrier prévisionnel
Le projet est actuellement en phase d’exploration et de prototypage (démonstration technique présentée). Les discussions doivent se poursuivre dans des instances comme Linux Plumbers et le Kernel Summit. L’approche proposée prévoit une migration progressive : importer le web PGP existant dans la nouvelle infrastructure et faire fonctionner les deux systèmes en parallèle pour des tests.
Impacts au-delà du noyau Linux
Cette approche intéresse toute la communauté open source et les écosystèmes utilisant des chaînes d’outils automatisées (dev tooling, CI/CD, dépôts de paquets) confrontés aux risques d’usurpation ou de compromission. Linux ID est compatible et complémentaire d’autres initiatives (par ex. sigstore / Rekor / Fulcio, SLSA, in-toto) qui renforcent la provenance et la signature des artefacts, en apportant une couche d’identité.
Call to action
Suivez les débats sur Linux Plumbers et le Kernel Summit, testez les prototypes lorsqu’ils seront publiés, et participez aux discussions pour définir les politiques d’acceptation et les autorités de confiance. Votre feedback sera crucial pour réussir la transition.
Sources et références
- Article d’origine : https://www.zdnet.com/article/linux-kernel-maintainers-new-way-of-authenticating-developers-and-code/
- Acteurs cités : Linux Foundation Decentralized Trust (Daniela Barbosa, Hart Montgomery), Affinidi (Glenn Gore), Greg Kroah-Hartman.
- Concepts et projets complémentaires : W3C DIDs et Verifiable Credentials, DIDComm, sigstore, Rekor, Fulcio, SLSA, in-toto.
