Contact

Linux explore une nouvelle méthode d’authentification des développeurs et du code (Linux ID)

Les mainteneurs du noyau Linux veulent remplacer le fragile « web of trust » PGP par un système d’identité décentralisée, privé et composable — basé sur DIDs et Verifiable Credentials — pour mieux garantir l’origine des contributions et durcir la sécurité de la chaîne d’approvisionnement logicielle.

Contexte : pourquoi changer le modèle PGP ?

Depuis des décennies, le noyau Linux s’appuie sur PGP pour signer les commits et établir la confiance entre contributeurs. Mais la procédure actuelle — vérification en personne, sessions de signatures de clés et scripts manuels — est lourde, sujette aux erreurs et présente des risques de vie privée. Des incidents passés (par exemple le piratage de kernel.org en 2011 ou la quasi‑compromission d’outils comme xz) ont montré les limites d’un système basé sur quelques signatures longues et fixes.

Ce qui est proposé : Linux ID (identité décentralisée)

Les responsables du projet (Linux Foundation Decentralized Trust et partenaires comme Affinidi) présentent une alternative qu’on peut appeler « Linux ID » : une couche d’identités décentralisées fondée sur des standards modernes (DIDs — Decentralized Identifiers — et Verifiable Credentials du W3C). L’idée : produire des attestations courtes et révoquables (credentials) émanant d’émetteurs divers (gouvernements, employeurs, Linux Foundation, tiers de confiance) pour établir, de façon cryptographique, qu’une clé ou un contributeur est bien celui qu’il prétend être.

Fonctionnement technique (résumé simple)

  • Identifiants décentralisés (DIDs) : chaque développeur crée un DID qui associe une clé publique et des points de contact (par ex. via did:web). On peut réutiliser certains éléments cryptographiques existants (p. ex. clés basées sur Curve25519).
  • Échanges pair‑à‑pair et messagerie décentralisée : les participants établissent des relations via des DIDs éphémères (pairwise DIDs) et utilisent des protocoles comme DIDComm ou REST pour échanger des attestations sans révéler leur réseau social global.
  • Verifiable Relationship Credentials (VRCs) : ces attestations décrivent la nature et la durée d’une relation (ex. « le mainteneur X reconnaît Y ») et servent de fondement aux signatures de code.
  • Transparence et révocation : les credentials sont conçus pour être courts (jours/semaines), révoquables via des registres de confiance et consommables par des journaux de transparence/audit.

Avantages attendus

  • Sécurité renforcée : un attaquant devrait obtenir et maintenir plusieurs attestations courtes et révoquables, ce qui augmente significativement la difficulté d’une usurpation de compte.
  • Flexibilité et interopérabilité : modèle « issuer‑agnostic » — divers émetteurs peuvent coexister et créer des chemins de confiance recoupés.
  • Meilleure privacy‑by‑design : l’usage de DIDs éphémères et de canaux chiffrés limite la possibilité de cartographier le réseau social des contributeurs.
  • Possibilités d’automatisation : délégation cryptographique limitée (par ex. à des agents IA ou services CI) pouvant être révoquée indépendamment.

Limitations et risques

  • Complexité : nouveau paradigme qui nécessite outils, opérateurs de confiance et formation.
  • Choix de qui émettre la confiance : les communautés devront définir quelles autorités/émetteurs elles acceptent, ce qui peut créer des frictions politiques/organisationnelles.
  • Adoption et migration : nécessité d’un plan de transition (import du web PGP existant) et d’un déploiement progressif.
  • Pas une panacée : le système élève le coût d’attaque mais n’élimine pas totalement le risque de compromission de la chaîne d’approvisionnement.

Calendrier et état du projet

Linux ID est actuellement en phase exploratoire et de prototypage. Les discussions et tests devraient se poursuivre dans des instances comme Linux Plumbers et le Kernel Summit. Une migration progressive (parallèle au système PGP actuel) est envisagée pour permettre des essais sans interrompre le développement.

Impacts possibles au‑delà du noyau

Les mêmes mécanismes peuvent bénéficier à d’autres projets open source et aux écosystèmes pilotés par IA, où l’authenticité et la traçabilité des signatures sont critiques. Le modèle permet aussi de déléguer des autorisations à des agents automatisés (CI, bots, IA) avec des credentials distincts et contrôlables.

Recommandations pour les projets / mainteneurs

  • Suivre les expérimentations et participer aux pilotes.
  • Définir en amont la politique d’acceptation des émetteurs de confiance.
  • Préparer une stratégie de migration (combiner PGP + credentials pendant la transition).
  • Intégrer journaux de transparence et mécanismes de révocation dès le départ.

Conclusion

Le passage d’un web PGP statique à une couche d’identités décentralisées et composables représente un changement majeur dans la façon dont le noyau Linux (et potentiellement l’ensemble de l’open source) peut prouver qui publie du code. Le système ne remplace pas instantanément toutes les protections mais offre une trajectoire claire pour améliorer sécurité, réactivité (révocation) et respect de la vie privée des contributeurs. Le chantier est en cours : surveillez les prochains pilotes et discussions communautaires.

Que pensez‑vous de ce basculement vers les DIDs pour sécuriser le développement open source ? Partagez vos retours et expériences en commentaires.

Source : Article original sur ZDNet