Les mainteneurs du noyau Linux veulent remplacer le modèle PGP « web of trust » par une couche d’identité décentralisée et préservant la vie privée. Basé sur des identifiants décentralisés (DIDs) et des « verifiable credentials », ce système — appelé ici Linux ID — vise à rendre l’authentification des contributeurs et la traçabilité du code plus flexibles, plus réactives et plus résistantes aux compromissions.
Contexte et problème
Depuis des décennies, le projet Linux s’appuie principalement sur PGP et le web of trust pour lier personnes et clés de signature (tags/commits). Ce système a assuré l’intégrité du dépôt mais présente des limites : procédures manuelles coûteuses (sessions de signature en personne), clés devenant obsolètes, cartographie publique des relations (risque de social engineering) et fragilité face à des attaques ciblées. Les mainteneurs qualifient le processus de « douloureux » et cherchent une alternative plus moderne.
La solution proposée : « Linux ID »
Les responsables de la Linux Foundation Decentralized Trust et des partenaires ont présenté une approche fondée sur les standards d’identité décentralisée :
- Identifiants décentralisés (DIDs) : identifiants globaux associés à des clés publiques et des points de service (ex. did:web), remplaçant progressivement la dépendance unique à PGP.
- Verifiable Credentials (VCs) et Proofs of Personhood : attestations cryptographiques émises par états, employeurs, la Linux Foundation ou services tiers, prouvant des éléments d’identité ou de relation (personne réelle, affiliation, reconnaissance par un mainteneur).
- Pairwise / éphémérité : relations chiffrées et « pairwise » utilisant des DIDs temporaires pour réduire la traçabilité et la possibilité de cartographier le réseau social des développeurs.
- Messagerie décentralisée : échanges via DIDComm, REST ou autres protocoles, permettant l’échange sécurisé de credentials sans révéler d’informations sensibles.
- Courtes durées et révocation : credentials conçus pour être courts (jours/semaines) et révoquables via registres de confiance (transparency logs / trust registries), limitant l’impact d’une clé ou d’un compte compromis.
Pourquoi c’est pertinent pour la sécurité du noyau
- Hausse du coût d’attaque : un attaquant devrait obtenir non seulement une clé signée mais aussi accumuler plusieurs attestations courtes auprès d’émetteurs indépendants — plus difficile et détectable.
- Auditable et réactif : les attestations courtes et les registres de transparence facilitent la détection et la révocation rapide.
- Flexible et interopérable : modèle « issuer‑agnostic » permettant à chaque projet de définir ses exigences de preuve et ses émetteurs de confiance.
Limites et état d’avancement
- Pas encore déployé : il s’agit d’un prototype / d’un ensemble de spécifications et de démonstrations. Des discussions sont prévues (Linux Plumbers, Kernel Summit) et des tests parallèles au système PGP existant.
- Ce n’est pas une panacée : Linux ID n’empêchera pas toutes les attaques de la chaîne d’approvisionnement, mais doit relever fortement le seuil d’un compromis réussi.
- Choix de politique : la pile technologique laisse la définition des règles à chaque communauté (qui émet, niveaux d’identité requis, délégation à des agents/IA, etc.).
Complément technique
- DIDs et Verifiable Credentials : spécifications promues par le W3C pour l’identité décentralisée.
- DIDComm : protocole pour la messagerie sécurisée entre DIDs, utilisé pour l’échange d’attestations.
- did:web : méthode simple de publication de documents DID via HTTPS.
- Clés modernes : possibilité de réutiliser des clés basées sur Curve25519 ou autres courbes modernes selon les usages.
- Transparency logs : registres audités similaires aux Certificate Transparency logs pour certaines opérations et révocations.
Impacts potentiels
- Adoption par d’autres projets open-source : approche générique applicable à d’autres écosystèmes.
- Intégration aux outils DevOps / CI : délégation contrôlée à des agents (y compris IA) via credentials distincts pour automatisation sécurisée des builds/tests.
- Meilleure protection de la vie privée : pairwise DIDs et attestations minimales réduisent l’exposition des relations sociales.
Conclusion
Linux ID propose une révision importante du modèle d’identification des contributeurs : passer d’un web of trust PGP statique vers une identité décentralisée, éphémère et vérifiable. Encore en phase exploratoire, ce chantier pourrait transformer la manière dont les projets open-source établissent la confiance et durcir la sécurité des chaînes d’approvisionnement logicielles.
Source
Article résumé : https://www.zdnet.com/article/linux-kernel-maintainers-new-way-of-authenticating-developers-and-code/
