Linux 內(nèi)核開發(fā)者 Konstantin Ryabitsev 一直在研究 Patatt(Patch Attestation)，一個(gè)基于密碼的補(bǔ)丁認(rèn)證系統(tǒng)，允許選擇性地在補(bǔ)丁中加入端到端的加密證明。事實(shí)上，其關(guān)于該項(xiàng)目的研究工作早已進(jìn)行了一段時(shí)間，但前不久所發(fā)生的明尼蘇達(dá)大學(xué)事件，則促使 Konstantin Ryabitsev 進(jìn)一步審視自己所做的補(bǔ)丁認(rèn)證工作。

• 最近 UMN 事件的一個(gè)副作用是對(duì)繼續(xù)依靠電子郵件發(fā)送補(bǔ)丁的內(nèi)核開發(fā)過程進(jìn)行了重新審查。這促使我重新審視我的端到端補(bǔ)丁驗(yàn)證工作， 并使其達(dá)到我認(rèn)為它在日常工作中既穩(wěn)定又從底層安全性和可用性的角度來看令人滿意的程度。

根據(jù)介紹，項(xiàng)目最初的設(shè)計(jì)目的在于盡可能的簡(jiǎn)單易用、不具侵入性、能直接采用并不干擾現(xiàn)有的工具和工作流程。Konstantin Ryabitsev 解釋稱：

• 該實(shí)現(xiàn)與 DKIM 非常相似，并使用 email headers 對(duì)所有相關(guān)內(nèi)容進(jìn)行加密證明。任何現(xiàn)有的工具都會(huì)忽略無法識(shí)別的 header。
• 加密簽名是通過 git-send-email(sendemail-validate)自動(dòng)調(diào)用的 git hook 完成的，所以它只需要設(shè)置一次，不需要記住做任何額外的步驟。
• 進(jìn)行簽名的庫只有幾百行 Python 代碼，并且在其大部分邏輯中重用了 DKIM 標(biāo)準(zhǔn)。

Patatt 從 b4 的 0.7.0 版開始得到完全支持。可以從 PyPi 安裝：

pip install --user patatt 

感興趣的用戶可以查看 Konstantin 的博文以了解更多詳細(xì)信息。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：明尼蘇達(dá)大學(xué)事件后，Linux 內(nèi)核開發(fā)者考慮為補(bǔ)丁提供加密證明

本文地址：https://www.oschina.net/news/143980/patch-attestation-patatt