Linux çekirdeğine ilişkin yeni bir araştırma, güvenlik anahtarlarının işlenmesi ve imzalanması sürecinde bazı “potansiyel sorunlu noktalar” belirledi. Çekirdek ekiplerinin sürümleri imzalama süreçleri ve imzalama anahtarlarının işlenmesine ilişkin politika ve prosedürleri incelemeleri Linux Vakfı tarafından istendi ve Açık Kaynak Teknoloji Geliştirme Fonu (OSTIF) ve Trail of Bits’teki siber güvenlik uzmanları tarafından yürütüldü.
OSTIF, raporunda “Bu inceleme, güvenliğin sağlamlığını ve Linux Çekirdeği için imzalama anahtarlarının kullanımını geliştirmeye yardımcı olabilecek yedi öneriyle sonuçlandı” diyor.
Tavsiyeye ek olarak, raporda, Trail of Bits’in, kuruluşların mevcut uygulamaları gözden geçirmelerine yardımcı olmak için çekirdek geliştiricilerin prosedürler ve politikalar hakkındaki belgeleri ayrıntılı olarak incelemesi ve güncellemesi gerektiğini önerdiği belirtiliyor.
Rapor, çekirdeğin, GPG veya SSH için kullanılan özel anahtar materyalini, ayrı bir akıllı kart cihazında depolamak için akıllı kartların kullanımını zorlamadığına dikkat çekiyor.
Ayrıca, Linux Vakfı’nın tavsiye ettiği akıllı kart Nitrokey, dokunmatik aktivasyonu desteklemiyor. Rapor ise dokunmatik güvenliğin, parola korumalı Nitrokey’den çok daha iyi olduğunu iddia ediyor.
Bir cevap yazın