Linux Kernel Propone Sistema de Identidad Descentralizado para Reemplazar la Red de Confianza de PGP

Desafíos actuales de autenticación PGP

Los desarrolladores del kernel de Linux actualmente utilizan Pretty Good Privacy (PGP) con integración Git para etiquetas y commits firmados. El sistema requiere una red de confianza iniciada en una sesión presencial de firma de claves en la Cumbre del Kernel de 2011 después de que kernel.org fuera hackeado. Hoy en día, los mantenedores del kernel que desean una cuenta en kernel.org deben encontrar a alguien que ya esté en la red de confianza PGP, reunirse con ellos en persona, mostrar una identificación gubernamental y obtener la firma de su clave.

El mantenedor del kernel de Linux Greg Kroah-Hartman describe este proceso como "difícil de hacer y gestionar" porque se rastrea mediante scripts manuales, las claves se desactualizan y el mapa público de "quién vive dónde" crea riesgos de privacidad e ingeniería social.

Linux ID: La solución propuesta

Linux ID es una capa de identidad descentralizada y que preserva la privacidad que reemplaza la frágil red de firma de claves PGP. El sistema fue presentado por los líderes de Confianza Descentralizada de la Linux Foundation Daniela Barbosa y Hart Montgomery, junto con el CEO de Affinidi Glenn Gore.

En el núcleo de Linux ID están las "pruebas de personería" criptográficas basadas en estándares modernos de identidad digital. En lugar de una única red de confianza monolítica, el sistema emite e intercambia credenciales de personería y credenciales verificables que afirman cosas como:

• "esta persona es un individuo real"
• "esta persona está empleada por la empresa X"
• "este mantenedor de Linux ha conocido a esta persona y la ha reconocido como mantenedor del kernel"

Implementación técnica

Linux ID se basa en identificadores descentralizados (DID), un mecanismo al estilo W3C para crear identificadores globalmente únicos y adjuntar claves públicas y puntos finales de servicio a ellos. Los desarrolladores crean DIDs, potencialmente utilizando claves existentes basadas en Curve25519 del mundo PGP actual, y publican documentos DID a través de canales seguros como puntos finales "did:web" basados en HTTPS que exponen su infraestructura de clave pública.

El sistema es agnóstico al emisor y componible. Las credenciales pueden anclarse de múltiples maneras:

• Identificaciones digitales emitidas por el gobierno (donde estén disponibles)
• Verificadores de identidad de terceros similares a centros de solicitud de visa
• Empleadores
• La propia Linux Foundation actuando como emisor

Si dos desarrolladores confían en diferentes emisores, aún pueden encontrar rutas de confianza superpuestas. Cuantos más emisores independientes existan, más fuerte se vuelve el sistema en general.

Cronograma e impacto

Linux ID aún no se está implementando, pero se espera que se despliegue dentro de un año. El sistema está diseñado para ser utilizado por otros proyectos de código abierto más allá del kernel de Linux, proporcionando una forma más flexible de probar las identidades de los desarrolladores sin frágiles fiestas de firma de claves o videollamadas ad-hoc.