Security: Github ersetzt "komplexes" PGP für NPM-Signaturen

PGP gilt als Standardwerkzeug zum Erzeugen und Überprüfen für Signaturen von Paketen. Für NPM ist damit bald Schluss.

Artikel veröffentlicht am ,
NPM macht Schluss mit PGP.
NPM macht Schluss mit PGP. (Bild: Github)

Beim Verteilen von Software über zentrale Paketquellen gibt es nur einige wenige Wege, die Integrität der erhaltenen Pakete zu überprüfen. Dazu gehören einerseits Hashwerte sowie andererseits auch kryptografische Signaturen der Pakete. Für Letzteres setzen die meisten Projekte wie auch Linux-Distributionen auf PGP. Für die Node.js-Pakete von NPM ist damit aber bald Schluss, wie Github ankündigt, das das NPM-Repository nach einer Übernahme betreibt.

Stellenmarkt
  1. Web-Security Architect (m/w/d)
    FLYERALARM Bit Labs GmbH, Berlin
  2. Trainee (m/w/d) Informatik
    Helvetia Schweizerische Versicherungsgesellschaft AG, Frankfurt am Main
Detailsuche

In der Ankündigung dazu heißt es: "Bis heute mussten sich NPM-Benutzer auf einen mehrstufigen Prozess verlassen, um die Signatur von NPM-Paketen zu validieren. Dieser PGP-basierte Prozess war sowohl komplex, erforderte von den Benutzern aber auch Kenntnisse über kryptografische Werkzeuge, was zu schlechten Erfahrungen führte."

Als Ersatz für PGP dienen Signaturen auf Basis von ECDSA, die Github für alle NPM-Pakete neu erzeugt. Zur Schlüsselverwaltung kommt ein HSM zum Einsatz. Zur Überprüfung der Signaturen wurde ein einfacher Befehl für das NPM-Kommandozeilenwerkzeug umgesetzt. Zu der Abkehr von PGP heißt es: "Entwickler, die sich auf den bestehenden Prozess verlassen, sollten bald damit beginnen, den neuen Befehl 'Audit Signatures' zu verwenden. Die PGP-Schlüssel laufen Anfang nächsten Jahres ab, weitere Details folgen."

Github arbeitet bereits länger daran, das NPM-Ökosystem besser abzusichern. Dazu gehört auch die Einführung eines Systems zur Zweifaktorauthentifizierung (2FA) der Paketbetreuer. Um dies zu vereinfachen, ist für npm login und npm publish eine Authentifizierung über das Web möglich, ab NPM 9 soll dies Standard werden. Zur späteren Wiederherstellung eines NPM-Accounts kann dieser nun außerdem mit Github- oder Twitter-Konten verbunden werden. Das soll auch eine Art öffentliche Verifizierung ermöglichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Google Fonts
Abmahnungen an Webseitenbetreiber mit Google-Schriftarten

Nach einer Entscheidung des Landgerichts München erhalten Webseitenbetreiber mit eingebundenen Google Fonts vermehrt Abmahnungen.

Google Fonts: Abmahnungen an Webseitenbetreiber mit Google-Schriftarten
Artikel
  1. Paw Patrol: US Space Force schickt Roboterhunde auf Patrouille
    Paw Patrol
    US Space Force schickt Roboterhunde auf Patrouille

    Die US Space Force wird einen hundeähnlichen Roboter von Ghost Robotics auf Patrouille schicken, um Personalkosten zu senken.

  2. Programmiersprache: JSON-Erfinder will Javascript in Rente schicken
    Programmiersprache
    JSON-Erfinder will Javascript in Rente schicken

    Douglas Crockford, der Erfinder des Datenformats JSON und Mitentwickler von Javascript, findet, dass die Sprache in Rente geschickt werden sollte.

  3. Windows auf dem Mac: Parallels wird merklich teurer
    Windows auf dem Mac
    Parallels wird merklich teurer

    Parallels 18 bietet eine native Unterstützung für Windows 11 und eine bessere Ressourcenzuweisung. Allerdings wird die Software teurer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: WD SSD 1TB m. Kühlkörper (PS5) 119,90€, MSI 29,5" 200 Hz 259€, LG QNED 75" 120 Hz 1.455,89€ • MindStar (XFX RX 6950 XT 999€, Gainward RTX 3070 559€) • Gigabyte Deals • Der beste Gaming-PC für 2.000€ • Apple Week bei Media Markt • be quiet! Deals [Werbung]
    •  /