리눅스 커널, PGP 웹 오브 트러스트 대체할 분산형 신원 시스템 제안

현재 PGP 인증의 과제

리눅스 커널 개발자들은 현재 Git 통합과 함께 PGP(Pretty Good Privacy)를 사용하여 서명된 태그와 커밋을 관리합니다. 이 시스템은 2011년 kernel.org가 해킹된 후 커널 서밋에서 대면 키 서명 세션으로 부트스트랩된 웹 오브 트러스트를 필요로 합니다. 오늘날, kernel.org 계정을 원하는 커널 유지 관리자는 이미 PGP 웹 오브 트러스트에 있는 누군가를 찾아 대면으로 만나 정부 발급 신분증을 보여주고 키 서명을 받아야 합니다.

리눅스 커널 유지 관리자 Greg Kroah-Hartman은 이 과정을 "수행하고 관리하기 번거로운" 것으로 설명합니다. 왜냐하면 수동 스크립트로 추적되며, 키는 오래되어 유효하지 않게 되고, 공개된 "누가 어디에 살고 있는지" 지도는 프라이버시와 사회 공학적 위험을 초래하기 때문입니다.

Linux ID: 제안된 솔루션

Linux ID는 취약한 PGP 키 서명 웹 오브 트러스트를 대체하는 분산적이고 프라이버시를 보존하는 신원 계층입니다. 이 시스템은 Linux Foundation 분산 신뢰 리더인 Daniela Barbosa와 Hart Montgomery, 그리고 Affinidi CEO Glenn Gore에 의해 발표되었습니다.

Linux ID의 핵심은 현대 디지털 신원 표준에 기반한 암호화된 "개인성 증명"입니다. 단일한 웹 오브 트러스트 대신, 이 시스템은 다음과 같은 것을 주장하는 개인성 자격 증명과 검증 가능한 자격 증명을 발급하고 교환합니다:

• "이 사람은 실제 개인입니다"
• "이 사람은 X 회사에 고용되어 있습니다"
• "이 리눅스 유지 관리자는 이 사람을 만나 커널 유지 관리자로 인정했습니다"

기술적 구현

Linux ID는 분산 식별자(DID)를 중심으로 구축되었으며, 이는 W3C 스타일의 전역 고유 ID를 생성하고 공개 키 및 서비스 엔드포인트를 첨부하는 메커니즘입니다. 개발자들은 DID를 생성하고(오늘날의 PGP 세계에서 기존 Curve25519 기반 키를 사용할 수도 있음), 공개 키 인프라를 노출하는 HTTPS 기반 "did:web" 엔드포인트와 같은 안전한 채널을 통해 DID 문서를 게시합니다.

이 시스템은 발급자에 구애받지 않고 구성 가능합니다. 자격 증명은 여러 방식으로 고정될 수 있습니다:

• 정부 발급 디지털 신분증(가능한 경우)
• 비자 신청 센터와 유사한 제3자 신원 검증자
• 고용주
• 발급자 역할을 하는 Linux Foundation 자체

두 개발자가 서로 다른 발급자를 신뢰하더라도, 여전히 중복되는 신뢰 경로를 찾을 수 있습니다. 더 많은 독립적인 발급자가 존재할수록 전체 시스템은 더 강력해집니다.

타임라인과 영향

Linux ID는 아직 배포되지 않았지만, 1년 이내에 배포될 것으로 예상됩니다. 이 시스템은 리눅스 커널을 넘어 다른 오픈소스 프로젝트에서도 사용되도록 설계되어, 취약한 키 서명 파티나 임시 영상 통화 없이도 개발자 신원을 증명하는 더 유연한 방법을 제공합니다.