Contact

Linux explore une nouvelle méthode d’authentification des développeurs et du code

Introduction

Depuis des années, la sécurité des contributions au noyau Linux repose sur le web of trust PGP — un ensemble de signatures parfois obtenues lors de rencontres en personne. Ce modèle a montré ses limites (complexité, clés obsolètes, risques de social engineering) et des incidents récents ont rappelé la fragilité de la chaîne d’approvisionnement. Pour y remédier, des responsables de la Linux Foundation et des partenaires proposent Linux ID, une architecture d’identité décentralisée destinée à authentifier à la fois les personnes et le code qu’elles signent.

Qu’est‑ce que Linux ID ?

Linux ID n’est pas une simple politique mais une pile technologique basée sur des standards modernes :

  • DIDs (Decentralized Identifiers) : identifiants W3C permettant d’associer des clés publiques et des points de service (par ex. did:web).
  • Verifiable Credentials (VCs) : attestations cryptographiques émises par des entités fiables (gouvernements, employeurs, Linux Foundation, etc.) prouvant des faits (personne réelle, employeur, relation de confiance).
  • Protocoles de messagerie décentralisée (REST, DIDComm, etc.) pour échanger des attestations et établir des relations privées (pairwise DIDs).
  • Transparence et registres de confiance pour la révocation et l’audit.

Comment ça marche, concrètement ?

  1. Un développeur crée une DID (possiblement réutilisant des clés Curve25519 issues du monde PGP).
  2. Il obtient des credentials d’émetteurs fiables (par ex. employeur, un service d’identification ou la Linux Foundation).
  3. Les mainteneurs établissent des relations pairwise et échangent des Verifiable Relationship Credentials (VRC) décrivant niveau de confiance, date de début, durée de validité, etc.
  4. Les signatures de code (git commits, tags, artefacts) peuvent être accompagnées d’un « bundle » d’attestations vérifiables, consultables via logs de transparence.
  5. Les émetteurs peuvent délivrer des attestations à durée courte (jours/semaines) et révoquer rapidement en cas de compromission.

Principaux avantages

  • Sécurité renforcée : un attaquant doit accumuler plusieurs attestations courtes et crédibles, ce qui augmente la difficulté d’une usurpation (par rapport à la capture d’une seule clé PGP).
  • Confidentialité et réduction du risque social : les relations pairwise et DIDs éphémères limitent la cartographie publique des liens entre contributeurs.
  • Flexibilité : différents projets peuvent définir quels émetteurs ils considèrent comme fiables et quel niveau de preuve ils exigent.
  • Adaptation aux outils modernes : possibilité de déléguer des droits à des agents automatiques (CI/IA) via des credentials séparés, avec révocation indépendante.

Défis et points d’attention

  • Transition : migrer le web of trust PGP historique vers Linux ID demandera des outils, des scripts et probablement un usage parallèle pendant la période de bascule.
  • Écosystème d’émetteurs : la fiabilité dépendra d’un réseau crédible et diversifié d’émetteurs (gouvernements, employeurs, services tiers). Construire ce réseau prendra du temps.
  • UX et adoption : simplifier l’onboarding pour les nouveaux contributeurs est essentiel pour éviter d’ajouter de la friction.
  • Privacy / régulation : l’usage de pièces d’identité gouvernementales varie selon les pays ; il faudra éviter la collecte centralisée d’informations sensibles.
  • Révocation et disponibilité : les registres de confiance doivent être robustes pour que la révocation soit rapide et fiable.
  • Interopérabilité : s’assurer que différents outils (git, CI, mirrors) peuvent consommer et vérifier ces attestations.

Calendrier et état actuel

Le projet est en phase exploratoire et de prototypage. Les discussions sont prévues au Linux Plumbers et au Kernel Summit dans l’année à venir, avec la possibilité d’importer progressivement le web of trust PGP existant pour faciliter la migration. Certains responsables estiment qu’un déploiement progressif pourrait intervenir d’ici environ un an, mais cela dépendra de l’expérimentation et de l’adoption communautaire.

Que peuvent faire les projets et contributeurs dès maintenant ?

  • Suivre les travaux de la Linux Foundation Decentralized Trust et des groupes du noyau.
  • Tester des prototypes et outils compatibles DIDs/VCs dans des environnements non‑critiques (projets satellites, CI internes).
  • Préparer une politique de migration et un inventaire des clés/identités existantes.
  • Sensibiliser les équipes sur la sécurité des clés, la rotation et la révocation.
  • Participer à l’écosystème d’émetteurs (ou identifier des partenaires de confiance).

Conclusion

Linux ID représente une évolution sensible vers une authentification plus moderne, privée et réactive pour les contributeurs et le code. Ce n’est pas une panacée, mais en combinant attestations de courte durée, registres de transparence et une approche écosystémique d’émetteurs, le noyau Linux (et d’autres projets open source) pourrait rendre les attaques sur la chaîne d’approvisionnement beaucoup plus coûteuses et détectables.

Source originale : Article ZDNET — Linux kernel maintainers’ new way of authenticating developers and code (ZDNET)

Crédit : Résumé basé sur l’article ZDNET (Steven Vaughan‑Nichols) et complété par des éléments de contexte sur les standards DIDs / Verifiable Credentials et les architectures d’identité décentralisée.

Appel à l’action : Suivez les prochaines réunions du Kernel Summit et contribuez aux tests des outils d’identité décentralisée.