Linux-Entwickler steigen auf Zwei-Faktor-Authentifizierung um

Die Linux Foundation hat zusammen mit den Kernel-Entwicklern entschieden, die Mainline- und Stable-Entwicklungszweige des Linux-Kernels mit Zwei-Faktor-Authentifizierung zu schützen. Für diese beiden wichtigen Git-Repositories müssen sich die Entwickler nun mit einem Hardware-Token oder einer Software anmelden, bevor sie Quellcode hochladen können. Das soll die Sicherheit der Entwicklungs-Infrastruktur erhöhen und es Angreifern erschweren, sich als Kernel-Entwickler auszugeben und Schadcode in den Linux-Kern zu schmuggeln. Bis jetzt war das System nur durch passwortgeschützte SSH-Schlüssel gesichert.

Um den neuen Schutz umzusetzen, haben die Entwickler eine quelloffene Erweiterung für die Software gitolite geschrieben, welche auf kernel.org eingesetzt wird. Damit kann ein Entwickler seine IP für 24 Stunden freischalten, um dann von dort aus Code hochladen zu können. Auf Wunsch wird ihm von seinem System auch länger Zugang gewährt, bis maximal 30 Tage. Das soll den Frust-Faktor der neuen Technik für die Entwickler möglichst klein halten.

Das System funktioniert mit Software-Tokens, die mit dem TOTP-Protokoll erstellt wurden und unterstützt unter anderem den Google Authenticator. Kernel-Entwickler werden von der Foundation aber gebeten, Hardware-Token einzusetzen, um die Sicherheit zu erhöhen. Die neue Software unterstützt zu diesem Zweck auch den YubiKey von Yubico. Die Firma hat der Linux Foundation wohl auch hundert der kleinen Passwort-Erzeuger geschenkt, die jetzt an Kernel-Entwickler verteilt werden, die direkten Commit-Zugriff auf die entsprechenden Repos haben. Die Foundation hofft außerdem, dass bald weitere Entwickler die Zwei-Faktor-Authentifizierung für ihre Entwicklungszweige bei kernel.org aktivieren. (fab)