Linux Foundation sichert Kernel-Quelltext mit Zwei-Faktor-Authentifizierung

Die Linux Foundation hat damit begonnen, die mit Git verwalteten Quelltexte des Linux-Kernels unter kernel.org mit einer Zwei-Faktor-Authentifizierung abzusichern. Das teilte sie jetzt auf dem Linux Kernel Summit mit. Die Maßnahme ist eine der Folgen eines Einbruchs auf kernel.org vor drei Jahren.

100 Kernel-Entwickler haben einen Yubikey als hard-Token erhalten (Bild: Yubico).

Nach dem Einbruch führte die Stiftung strengere Zugangskontrollen ein, indem sie private SSH-Schlüssel für Kernel-Entwickler ausgab. Doch wie Konstantin Ryabitsev erklärt: „SSH-Schlüssel sind zwar weit sicherer als einfach Passwörter, aber sie können auch in bösartige Hände fallen – wenn etwa eine Entwickler-Workstation kompromittiert wird oder jemand Zugriff auf schlecht gesicherte Backups bekommt.“

Als Verschärfung ist nun ein zweiter Faktor neben User-ID und Passwort vorgesehen, nämlich ein Einmalcode, der entweder im „Soft-Token“- oder im „Hard-Token“-Verfahren erzeugt werden kann. Soft-Token ist das Verfahren, das etwa Google oder Twitter einsetzen: Der Einmal-Code wird von einer Smartphone-App erzeugt. Als Hard-Token gelten separate Geräte, die solche Codes erzeugen – etwa RSAs SecurID oder der YubiKey.

Sicherer seien Hard-Tokens, führt Ryabitsev aus, aber auch ein „Soft-Token ist dramatisch besser als überhaupt keine Zwei-Faktor-Authentifizierung“. Hundert bei kernel.org registrierten Entwicklern hat zudem YubiKey-Hersteller Yubico ein Hard-Token gestiftet.

Unabhängig vom Token werden die Linux-Quelltexte durch den HMAC-based One-time Password Algorithm (HOTP) und den Time-based One-Time Password Algorithm (TOTP) der Initiative For Open Authentication (OATH) abgesichert. Beide sind Sicherheitsstandards der Internet Engineering Task Force (IETF).

Damit die Sicherheitskontrolle nicht zum Ärgernis wird, müssen Passwort und sechsstelliger Zufallscode nicht bei jedem Log-in angegeben werden. Vielmehr wurde das Git-Werkzeug gitolite so konfiguriert, dass ein einmal authentifizierter Nutzer mit seinem Namen und einer Internetadresse für 24 Stunden validiert wird. Ryabitsev erklärt, dass sich dies sogar auf bis zu 30 Tage erweitern lässt, falls ein Entwickler größtenteils von einem Ort aus arbeitet.

Für den Mainline-Kernel und die stabile Version funktioniert die Zwei-Faktor-Authentifizierung schon. Ihr Einsatz ist vorerst nicht verpflichtend, wird es aber irgendwann sein.

Eine Zwei-Faktor-Authentifizierung bieten inzwischen beispielsweise Apple, Microsoft, Twitter und Tumblr an. Dass sie immer nur so stark ist wie die verwendeten Algorithmen, zeigt der Fall von Paypal, dessen Zwei-Faktor-Authentifizierung im letzten Monat zweimal geknackt wurde.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago