Original-URL des Artikels: https://www.golem.de/news/linux-hardware-soll-schluessel-der-kernel-entwickler-schuetzen-1804-133710.html    Veröffentlicht: 06.04.2018 16:39    Kurz-URL: https://glm.io/133710

Linux

Hardware soll Schlüssel der Kernel-Entwickler schützen

Die Linux Foundation sorgt sich schon länger um die Sicherheit des Codes in der Kernel-Entwicklung und macht Werbung für PGP-signierte Git-Tags und Code-Beiträge. Linux-Entwickler können nun auch kostenlos Kryptohardware beziehen, um ihre Schlüssel abzusichern.

Die über die Welt verteilte Entwicklung des Linux-Kernels basiert auf dem Vertrauen der einzelnen Entwickler und Maintainer zueinander. Um dieses Vertrauen auf die Integrität des Codes selbst zu übertragen, empfiehlt die Linux Foundation und hier vor allem der für die IT-Security der Kernel-Infrastruktur zuständige Entwickler Konstantin Ryabitsev die Nutzung von PGP-Schlüsseln zum Signieren das Codes. Diese Schlüssel will die Linux Foundation laut einem Blogpost nun besser schützen.

In Partnerschaft mit dem Berliner Unternehmen Nitrokey dürfen Kernel-Entwickler künftig kostenlos einen Nitrokey Start bestellen, der dann den PGP-Schlüssel sicher in Hardware aufbewahrt, die per USB an einen Rechner angeschlossen wird. Zusätzlich zu den Hardware-Schlüsselspeichern bietet die Linux Foundation einen PGP-Guide für Kernel Maintainer an, der die Rolle der Verschlüsselungssoftware in der Kernel-Entwicklung im Detail beschreibt.

Auf dem Kernel Summit, der im vergangenen Herbst in Prag stattgefunden hat, hat Ryabitsev die Grundlagen dazu bereits der Community in einem Vortrag (PDF) erklärt. Denn offenbar haben noch nicht alle Kernel-Entwickler die Nutzung von PGP und den Hardwarespeichern verinnerlicht.

Die PGP-Schlüssel, so sie denn genutzt werden, dienen dazu, einzelne Codebeiträge oder auch Git-Tags, also etwa bestimmte Versionsstände, zu signieren und damit deren Integrität zu garantieren. Die Schlüssel lagern aber gewöhnlich auf den Rechnern der Entwickler. Fallen sie Angreifern in die Hände, können diese unter Umständen eigene Beiträge in den Kernel-Entwicklungsprozess einschleusen, falls der Subsystem-Maintainer nicht so genau hinschaut. Die Verwendung der speziellen Schlüssel-Hardware soll dies jedoch verhindern oder wenigstens deutlich erschweren.

Das Angebot der kostenlosen Nitrokey-Geräte gilt für Kernel-Entwickler, die im Maintainers-File gelistet sind oder über einen Account auf Kernel.org verfügen. Der Schlüssel lässt sich nur dann auslesen, wenn der Nutzer den USB-Stick an seinen Computer steckt und zur Schlüsselfreigabe eine PIN eingibt. Nach sechs Fehlversuchen sperrt sich der Nitrokey Start automatisch, was Brute-Force-Angriffe verhindern soll. In diesem Fall muss der User den Schlüssel dann über ein zuvor angelegtes Backup wiederherstellen.  (kki)


Verwandte Artikel:
Librem 5: Purism-Smartphone bekommt Smartcard für Verschlüsselung   
(09.03.2018, https://glm.io/133248 )
Officesuite: Libreoffice 6.0 bringt PGP-Signaturen und bessere Formulare   
(31.01.2018, https://glm.io/132504 )
Libgcrypt: GnuPG-Zufallszahlen sind nicht ganz zufällig   
(18.08.2016, https://glm.io/122780 )
2-Faktor-Authentifzierung: Facebook-Account mit Hardwareschlüsseln absichern   
(26.01.2017, https://glm.io/125841 )
RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel   
(18.10.2017, https://glm.io/130691 )

© 1997–2019 Golem.de, https://www.golem.de/