Software::Security
Git-Repositorien auf Kernel.org sollen sicherer werden
Auf dem Linux Kernel Summit in dieser Woche in Chicago lässt die Linux Foundation einhundert von der Firma Yubico gespendete Yubikeys an Kernel-Entwickler verteilen, um anzuregen, deren Repositorien auf Kernel.org besser abzusichern als bisher.
Larry Ewing
Die Mainline- und Stable-Repositorien sind bereits jetzt über
Zwei-Faktor-Authentifizierung (2FA) abgesichert. Die
Foundation erhofft sich, dass durch die jetzige Maßnahme mehr Kernel-Entwickler ihre Archive mit 2FA absichern. Erforderlich ist dafür derzeit lediglich ein eigener SSH-Schlüssel. Da diese aber in falsche Hände geraten können, soll 2FA helfen, das Risiko von bösartigem Code auf Kernel.org zu minimieren.
Zwei-Faktor-Autentifizierung erhöht die Sicherheit, indem der Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener, unabhängiger Komponenten erbracht wird. Bei den hierzu verwendeten Mitteln kann es sich um ein hartes oder weiches Token handeln. Das gebräuchlichste Beispiel eines harten Token ist die Kreditkarte, die nur im Zusammenhang mit der PIN die Authentifizierung ermöglicht. Banken erwarten neben dem Schlüssel für ein Schließfach oft auch noch eine Passphrase.
Weiche Token sind softwareseitige Implementationen eines Sicherheitsmerkmals, die zum Beispiel auf einem Smartphone mitgeführt werden und dort bei Bedarf einen nur einmal gültigen Code erzeugen. Der Google Authenticator verwendet solch ein Soft-Token für seine 2FA. Auch körperliche Merkmale wie Fingerabdruck oder die Iris des Auges können ein Faktor bei 2FA sein.
Die jetzt an die Kernel-Entwickler verteilten Yubikeys stellen ein USB-basiertes Hard-Token dar. Beim Anstecken an einen Computer wird der Ubikey als Keyboard erkannt. Das Token generiert auf Knopfdruck ein 44-stelliges Einmal-Passwort, das aber auch statisch benutzt werden kann. Yubikey unterstützt zusätzlich das HOTP-Verfahren, für welches sich die Linux Foundation zum besseren Schutz auf Kernel.org entschieden hat. Das Verfahren wurde mit dem auf Kernel.org benutzten Repositorien-Verwaltungswerkzeug Gitolite verheiratet und erlaubt die Authentifizierung einer IP-Adresse ohne manuelle Eingaben für Zeiträume von 24 Stunden bis hin zu 30 Tagen.
){kind=small}
