Linux 基金会 IT 团队一直在努力通过推广使用 PGP 签名的 git 标签和提交,来提高 kernel.org 托管的 git 仓库的代码完整性。这样做可以使任何人轻松验证 git 仓库是否被更改或篡改,无论他们是从哪个全球镜像克隆的。如果您克隆的仓库上的数字签名与 Linus Torvalds 或任何其他维护者的 PGP 密钥匹配,那么您可以确信您计算机上的代码与内核代码的精确副本完全一致,没有任何遗漏或添加。
为了帮助推广在 Linux 内核开发中使用 PGP 签名,我们现在在内核文档树中提供详细指南
此外,我们很高兴地宣布一项由 Linux 基金会 与 Nitrokey(智能卡兼容数字令牌的开发商和制造商,能够存储私钥并在芯片上执行 PGP 操作)合作赞助的新的特别计划。根据此计划,任何在 MAINTAINERS 文件中被列为维护者,或拥有 kernel.org 账户的开发者,都有资格获得免费的数字令牌,以帮助提高其 PGP 密钥的安全性。该设备的费用,包括任何税费、运费和手续费,将由 Linux 基金会承担。
要参与此计划,请访问 Nitrokey 网站上的特殊商店页面
谁有资格参加此计划?
要获得该计划的资格,您需要在 kernel.org 上拥有一个帐户,或者您的电子邮件地址需要列在 MAINTAINERS 文件中(在“M”标题下)。如果您目前不符合资格但认为自己应该符合,最简单的做法是将自己添加到 MAINTAINERS 文件中或申请 kernel.org 上的帐户。
此计划下提供哪些设备?
该计划仅限于 Nitrokey Start 设备。我们在几个可用的选项中选择此特定设备有几个原因。
首先,许多 Linux 内核开发者不仅对开源软件有强烈的偏好,而且对开源硬件也有强烈的偏好。Nitrokey 是少数几家销售与 GnuPG 兼容的智能卡设备的供应商之一,它们同时提供这两者,因为 Nitrokey Start 基于日本自由软件倡议组织 Free Software Initiative of Japan 开发的 Gnuk 加密令牌固件。它也是少数几个商业上可用的设备之一,提供对 ECC 密钥的原生支持,这种密钥的计算速度比大型 RSA 密钥更快,并且生成更小的数字签名。随着我们推动对 git 对象本身进行更多的代码签名,该设备的开放特性及其对快速现代密码学的支持是我们评估中的关键点。
此外,Nitrokey 设备(Start 和 Pro 型号)已经被 开源开发人员 用于加密目的,并且已知它们在 Linux 工作站上运行良好。
数字智能卡令牌有什么好处?
在通常的 GnuPG 操作中,私钥存储在主目录中,它们可能会被恶意软件窃取,或通过其他方式泄露,例如安全性较差的备份。此外,每次执行 GnuPG 操作时,密钥都会加载到系统内存中,并且可以使用足够先进的技术(例如 Meltdown 和 Spectre)从那里窃取。
像 Nitrokey Start 这样的数字智能卡令牌包含一个加密芯片,该芯片能够存储私钥并在令牌本身上直接执行加密操作。由于密钥内容永远不会离开设备,因此插入令牌的计算机的操作系统无法检索私钥本身,从而大大限制了密钥泄露或被盗的方式。
问题或疑问?
如果您符合该计划的资格,但在购买设备时遇到任何困难,请通过 [email protected] 联系 Nitrokey。
对于有关该计划本身或任何其他意见的任何问题,请联系 [email protected]。