Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- Linux kernel kreće se prema boljem načinu identificiranja programera i njihovog koda.
- Ovaj novi pristup mogu koristiti drugi projekti otvorenog koda.
- Još nije uveden, ali očekujem da će biti implementiran u ovo doba sljedeće godine.
NAPA, Kalifornija — Besmrtnim riječima autora pjesme Petea Townshenda, “Pa, tko si ti? (Tko si ti? Tko, tko, tko, tko?) Stvarno želim znati!” Održavatelji Linux kernela imaju isto pitanje: Tko su njihovi programeri i kako zajednica kernela može biti sigurna da je kod koji predaju doista njihov?
Desetljećima su razvijači Linux kernela koristili Prilično dobra privatnost (PGP) identificirati programere i njihove artefakte izdanja. Gitova PGP integracija omogućila je potpisane oznake za provjeru integriteta repozitorija koda i potpisane obveze za sprječavanje hakera da se lažno predstavljaju kao zakoniti programeri.
Također: najnovije izdanje Linux kernela zatvara eru 6.x – i to je dar administratorima u oblaku
Hakeri su 2011. uspješno provalili na glavno Linux razvojno mjesto, kernel.org. Nakon toga, kako bi se osiguralo da se ovo više ne dogodi, PGP mreža povjerenja kernela eksplicitno je “bootstrapped” na sesiji potpisivanja ključeva licem u lice tijekom Kernel Summita 2011.
Nedavno je uslužni program xz kompromitirao zlonamjerni programer, što je gotovo dovelo do zaraze zlonamjernog softvera Linuxu.
Bolan proces
Danas održavatelji kernela koji žele kernel.org račun moraju pronaći nekoga već na PGP mreži od povjerenja, susresti se s njim licem u lice, pokazati državnu identifikaciju i dobiti njegov ključ potpisan. Proces je poput ručnog, globalnog lova na smetlare. Održavatelj Linux kernela Greg Kroah-Hartman, govoreći na Linux Foundation Members Summitu, opisao je to kao “bol za napraviti i upravljati.” To je zato što ga prate ručne skripte, ključevi su zastarjeli, a javna karta “tko gdje živi” stvara rizik privatnosti i socijalnog inženjeringa.
Stoga, održavatelji kernela rade na zamjeni ove krhke mreže povjerenja za potpisivanje PGP ključeva decentraliziranim slojem identiteta koji čuva privatnost i koji može jamčiti i za programere i za kod koji potpisuju.
Također: Ovaj backdoor gotovo je zarazio Linux posvuda: XZ Utils zatvara poziv
Njihov novi pristup, koji ću nazvati Linux ID, predstavio je ovaj tjedan Linux Foundation Decentralized Trust voditelji Daniela Barbosa i Hart Montgomery, zajedno s partnerom Glennom Goreom, izvršnim direktorom Affiniditvrtka za digitalno povjerenje otvorenog standarda. Linux ID trebao bi zajednici kernela pružiti fleksibilniji način da dokaže tko su ljudi, a tko nisu, bez oslanjanja na krhke zabave za potpisivanje ključeva ili ad-hoc video pozive.
Srž Linux ID-a je skup kriptografskih “dokaza osobnosti” izgrađenih na modernim standardima digitalnog identiteta, a ne na tradicionalnom potpisivanju PGP ključeva. Umjesto jedinstvene monolitne mreže povjerenja, sustav izdaje i razmjenjuje vjerodajnice osobnosti i provjerljive vjerodajnice koje potvrđuju stvari poput “ova je osoba stvarna osoba”, “ova je osoba zaposlena u tvrtki X” ili “ovaj održavatelj Linuxa upoznao je ovu osobu i prepoznao je kao održavatelja kernela.”
Neovisno o izdavatelju i sastavlja se
Ove se vjerodajnice mogu usidriti na više načina: digitalne osobne iskaznice koje je izdala vlada, ako su dostupne; verifikatori identiteta trećih strana slični centrima za podnošenje zahtjeva za vizu; poslodavci; ili sama Linux Foundation koja djeluje kao izdavatelj.
Montgomery je naglasio da je model namjerno nevezan za izdavatelja i da ga je moguće sastaviti: ako dva programera dijele povjerenje u različite izdavatelje, još uvijek mogu pronaći putove povjerenja koji se preklapaju, a što više neovisnih izdavatelja postoji, cjelokupni sustav postaje jači.
Također: koristio sam Windows desetljećima, ali sam isprobao Linux da vidim je li sada doista ‘lak’ – i jedna me stvar iznenadila
Tehnički, Linux ID je izgrađen oko decentraliziranih identifikatora (DID). Ovo je mehanizam u stilu W3C za stvaranje globalno jedinstvenih ID-ova i prilaganje javnih ključeva i krajnjih točaka usluge njima. Programeri stvaraju DID-ove, potencijalno koristeći postojeće ključeve temeljene na Curve25519 iz današnjeg svijeta PGP-a, i objavljuju DID dokumente putem sigurnih kanala kao što su “did:web” krajnje točke temeljene na HTTPS-u koje otkrivaju svoju infrastrukturu javnih ključeva i gdje poslati šifrirane poruke.
Povrh toga, projekt koristi decentraliziranu tkaninu za razmjenu poruka koja može biti REST, DIDCommili neki drugi protokol koji obuhvaća povjerenje. To omogućuje sudionicima uspostavljanje odnosa i razmjenu vjerodajnica bez otkrivanja njihove fizičke lokacije ili topologije mreže. Svaki odnos koristi svoje nasumične, efemerne DID-ove, što znatno otežava promatračima koji pokreću infrastrukturu za razmjenu poruka zaključiti tko s kim razgovara ili mapirati društveni grafikon kernela.
U demonstraciji uživo, Gore je prošetao kroz to kako novi programer bez prethodnih vjerodajnica razvija identitet, pridružuje se zajednici Linux Foundationa, a zatim uspostavlja odnos s drugim sudionikom koristeći uparene DID-ove. Nakon što taj odnos postoji, dvije strane mogu razmjenjivati bogatije, provjerljive vjerodajnice odnosa (VRC-ove) koje bilježe činjenice kao što su kada je odnos započeo, razinu povjerenja koju odražava i koliko dugo bi vjerodajnice trebale ostati važeće.
Također: AI se uvlači u Linux kernel – i službena politika je potrebna što prije
Za održavatelje kernela ideja je da ove vjerodajnice podupiru identitete iza potpisanog koda: umjesto da se oslanjaju isključivo na PGP ključ potpisan na konferenciji prije nekoliko godina, održavatelji bi mogli provjeriti snop svježih vjerodajnica koje dokazuju da ključ koji vide pripada istoj osobi koju je prepoznala Linux Foundation, njihov poslodavac ili drugi pouzdani izdavatelji. Te se vjerodajnice mogu unijeti u zapisnike transparentnosti i druge sustave revizije.
Montgomery i drugi pažljivo su rekli da Linux ID neće magično spriječiti još jedan napad na lanac opskrbe u stilu xz, ali tvrde da značajno povećava troškove. Umjesto jednog PGP ključa i pregršt potpisa, napadač bi trebao akumulirati i održavati višestruke, kratkotrajne vjerodajnice od izdavatelja koji ih mogu opozvati i od članova zajednice čija je vlastita reputacija u igri, a sve to dok se njihova aktivnost prenosi u javne ili polujavne zapisnike transparentnosti.
To je tehnološki skup, a ne fiksna politika
Dizajn sustava također teži atestima kraćeg vijeka: izdavatelji se potiču da izdaju vjerodajnice koje vrijede danima ili tjednima, a ne godinama, te da se oslanjaju na registre povjerenja koji mogu označiti opozvane vjerodajnice čak i ako izdavatelj i nositelj više nisu u izravnom kontaktu. Ta kombinacija tekućih vjerodajnica i opoziva uz podršku registra daje zajednici više mogućnosti za odgovor kada se ispostavi da suradnik nije onaj za kojeg se predstavlja ili kada su uređaj ili ključevi pravog programera ugroženi.
Također: Zašto moj omiljeni Linux distro usporava – i oduševljen sam zbog toga
Jedna tema koja se ponavljala tijekom cijele sesije bila je da je Linux ID tehnološki skup, a ne fiksna politika. Različite zajednice, od jezgre jezgre do drugih projekata Linux Foundationa, moći će odabrati kojim izdavačima vjeruju, koju razinu dokaza zahtijevaju za različite uloge i mogu li AI agenti djelovati pod delegiranim vjerodajnicama za obavljanje automatiziranih zadataka poput kontinuirane integracije ili testiranja zakrpa.
Isti mehanizmi koji dopuštaju održavatelju da jamči za ljudskog suradnika može kriptografski delegirati ograničene ovlasti AI agentu ili usluzi, s odvojenim vjerodajnicama i kontekstima povjerenja koji se mogu neovisno opozvati ako nešto pođe po zlu. Istraživači iz Harvard Applied Social Media Lab a drugi već eksperimentiraju s kompatibilnim aplikacijama koje spajaju ljude i AI sudionike u istim razgovorima koji su svjesni vjerodajnica, nagovještavajući kako bi se Linux ID mogao presijecati s budućim razvojnim alatima.
Linux ID tek treba biti implementiran. Kroah-Hartman je rekao da je trud još uvijek u fazi istraživanja i izrade prototipa. Plan je voditi raspravu na Linux vodoinstalateri i Kernel Summit tijekom iduće godine. U bliskoj budućnosti, kernel.org bi mogao uvesti svoj postojeći PGP web of trust u novi sustav kako bi olakšao migraciju, dok bi održavači počeli testirati alate paralelno s današnjim procesima temeljenim na PGP-u.
Također: Pronašao sam najbolje distribucije Linux poslužitelja za vaš kućni laboratorij
Barbosa i drugi uokvirili su rad kao dio šireg nastojanja da Linux Foundation predvodi decentraliziranu infrastrukturu povjerenja. Drugim riječima, ova tehnologija nije samo za programere kernela. To je za bilo koju zajednicu otvorenog koda ili ekosustav vođen umjetnom inteligencijom koji se suočava sa sve većom krizom identiteta i autentičnosti.
Jednom implementirani, budući programeri i kod bit će podržani ne samo potpisanom oznakom, već i bogatom, kriptografski provjerljivom pričom o tome tko stoji iza toga. To znači da će Linux kod biti sigurniji nego ikad.
Povezani sadržaji
Colt širi NaaS platformu kroz Europu
EXA otkriva rutu vlakana visokog kapaciteta za ključne euro poslovne centre
5 laganih Linux distribucija koje će oživjeti vaše staro računalo
Nordijske zemlje planiraju izvanmrežni sustav plaćanja za sigurnosnu kopiju katastrofe
Vaš novi Pixel 9 Pro iznosi 200 USD za samo kratko vrijeme
Jeste li spremni odbaciti Windows? 5 čimbenika koji će vam pomoći da se odlučite između Linuxa ili MacOS-a
