Linux: E-Mail-Header könnte Kernel-Patches verifizieren

Geht es nach dem Kernel-Admin, sollen Linux-Hacker nicht nur ihre Beiträge signieren, sondern auch ihre E-Mails. Das ist aber schwierig.

Artikel veröffentlicht am ,
Die Linux-Kernel-Entwicklung basiert immer noch hauptsächlich auf E-Mail.
Die Linux-Kernel-Entwicklung basiert immer noch hauptsächlich auf E-Mail. (Bild: Pete / Flickr.com/CC0 1.0)

Anders als viele große Open-Source-Projekte, die auf Plattformen wie Github entwickelt werden, setzt die Community des Linux-Kernel für die Entwicklung auf ein System, das fast ausschließlich auf E-Mail basiert. Im Zuge der Affäre um eingeschleuste Bugs durch die University of Minnesota (UMN) hat nun Entwickler Konstantin Ryabitsev ein kleines Projekt fertiggestellt, dass die wichtigsten Teile einer E-Mail kryptographisch signieren soll, wie er in seinem Blog ankündigt.

Stellenmarkt
  1. Trainer (m/w/d) - Android App Entwickler / Developer
    WBS GRUPPE, deutschlandweit (Home-Office)
  2. Agile Software-Tester (m/w/d)
    TOPdesk Deutschland GmbH, Kaiserslautern
Detailsuche

Ryabitsev ist als Admin für die Infrastruktur von Kernel.org zuständig und versucht seit Jahren, die Mehrzahl der Entwickler zur Nutzung von PGP für Code-Beiträge zu bewegen. Ziel der nun von Ryabitsev in seinem Blog vorgestellten Arbeiten ist zudem die kryptographische Verifikation der Integrität der E-Mail-Inhalte selbst. Darüber hinaus soll die Technik so wenig Probleme wie möglich mit den bisher für den Kernel genutzten Werkzeugen verursachen, die ebenfalls meist auf E-Mail basieren. Genau das ist mit einer klassischen E-Mail-Signatur, etwa per PGP, derzeit nicht möglich.

Konkret verhindert werden soll mit der Technik, dass Patches möglicherweise unbeabsichtigt von Betreuern nur anhand der Informationen einer E-Mail wie der Absendeadresse übernommen werden. Schließlich verifiziert die Technik, dass die E-Mail tatsächlich vom Absender stammt. Darüber hinaus könnte damit eine Manipulation von E-Mails verhindert werden, während diese von einem Mailinglisten-Archiv heruntergeladen werden, um diese lokal schnell selbst einzupflegen. Eine Veränderung, etwa per Man-in-the-Middle-Angriff oder auch durch das Kompromittieren des E-Mail-Servers mit dem Archiv, würde auch hier dank der Verifikation auffallen, wie Ryabitsev bereits im vergangenem Jahr erklärte.

An DKIM angelehnt

Die nun vorgestellte Software Patatt, kurz für Patch Attestation, übernimmt dabei grundlegende Ideen von DKIM. Bei diesem E-Mail-Standard werden Signaturen in E-Mail-Headern versendet, die sich mit einem im DNS veröffentlichten Schlüssel für einzelne Domains überprüfen lassen. So soll gewährleistet werden, dass die abgesendete E-Mail tatsächlich von der angegebenen Domain aus versendet worden ist.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
Weitere IT-Trainings

Im Patatt-System von Ryabitsev werden dagegen die From- und Subject-Header sowie der Message-Body signiert und diese Signatur in einem neuen E-Mail-Header (X-Developer-Signature) versendet. Hinzu kommt ein weiterer Header (X-Developer-Key), der Auskunft über den genutzten Schlüssel gibt. Ryabitsev schwebt hier logischerweise die Nutzung der bereits vorhandenen PGP-Schlüssel vor. Die Technik ist darüber hinaus in einige weitere Werkzeuge der Linux-Kernel-Entwicklung integriert, sodass die Verifikation der E-Mail-Inhalte Betreuern direkt in ihrem Arbeitsablauf angezeigt werden kann. Das gilt etwa für Git-Send-Email, das über einen Hook für das automatische Signieren sorgt, sowie in den Hilfsskripten B4.

Der Kernel.org-Admin schreibt, dass er zwar niemanden zwingen könne, Patatt zu verwenden. Er hoffe aber, dass sich Betreuer verschiedener Subsysteme künftig dafür entscheiden, dies doch umzusetzen oder zumindest auszuprobieren. Aufgrund der komplett dezentralisierten Entwicklungskultur des Linux-Kernel ist derzeit aber kaum abzusehen, ob und inwieweit die Patatt langfristig breiten Einsatz findet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

chefin 01. Jun 2021 / Themenstart

Sowas funktioniert nicht. Wie verhinderst du das Spamer sich anmelden und das System...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /