Linux 内核开发者 Konstantin Ryabitsev 一直在研究 Patatt(Patch Attestation),一个基于密码的补丁认证系统,允许选择性地在补丁中加入端到端的加密证明。事实上,其关于该项目的研究工作早已进行了一段时间,但前不久所发生的明尼苏达大学事件,则促使 Konstantin Ryabitsev 进一步审视自己所做的补丁认证工作。
- 最近 UMN 事件的一个副作用是对继续依靠电子邮件发送补丁的内核开发过程进行了重新审查。这促使我重新审视我的端到端补丁验证工作, 并使其达到我认为它在日常工作中既稳定又从底层安全性和可用性的角度来看令人满意的程度。
根据介绍,项目最初的设计目的在于尽可能的简单易用、不具侵入性、能直接采用并不干扰现有的工具和工作流程。Konstantin Ryabitsev 解释称:
- 该实现与 DKIM 非常相似,并使用 email headers 对所有相关内容进行加密证明。任何现有的工具都会忽略无法识别的 header。
- 加密签名是通过 git-send-email(sendemail-validate)自动调用的 git hook 完成的,所以它只需要设置一次,不需要记住做任何额外的步骤。
- 进行签名的库只有几百行 Python 代码,并且在其大部分逻辑中重用了 DKIM 标准。
Patatt 从 b4 的 0.7.0 版开始得到完全支持。可以从 PyPi 安装:
- pip install --user patatt
感兴趣的用户可以查看 Konstantin 的博文以了解更多详细信息。
本文转自OSCHINA
本文标题:明尼苏达大学事件后,Linux 内核开发者考虑为补丁提供加密证明
本文地址:https://www.oschina.net/news/143980/patch-attestation-patatt