Suivez-moi sur Identi.ca : http://identi.ca/carlchenet
La sécurité du projet Debian impose à chaque développeur et responsable Debian de possèder une paire de clés de chiffrement permettant de chiffrer mais surtout d’authentifier ses échanges. Lorsque le développeur signe ses e-mails ou les paquets dont il a la charge, le projet est ainsi certain de connaître l’identité de l’émetteur.
Il faut ajouter à cela le fait que Debian est un projet fortement décentralisé dans son fonctionnement. Certains développeurs sont actifs un moment, disparaissent quelques mois avant de se remanifester, etc. Il apparaît donc difficile d’instaurer des usages communs à tous les développeurs Debian de manière arbitraire et après coup sans observer un lag et des périodes de transition importantes. Ce qui peut poser problème en matière de sécurité.
Grâce à l’équipe des responsables du trousseau de clés de Debian, toutes les clés PGP version 3 qui posaient des problèmes ont été remplacées ou supprimées. Ce travail s’insère dans un effort plus global d’évolution de la sécurité associée au trousseau de clés Debian.
En effet bien qu’aucune vulnérabilité ne soit connue pour les clés 1024 DSA (SHA1) à l’heure actuelle, les responsables du trousseau ont décidé de ne plus accepter de clés de ce type lors de la création d’un nouveau compte de développeurs ou de remplacement de clé. La recommandation actuelle est de créer une clé de 4096 RSA (SHA2).
Un grand merci donc à l’équipe des responsables du trousseau de clés Debian, qui permet la sécurité quotidienne des échanges et envois d’informations et de paquets entre développeurs ou vers l’archive officielle du projet.
Salut,
Une idée du temps qu’il faut pour que tous les développeurs passent de SHA1 à SHA2. Ou autrement dit, combien de temps gardent-ils leurs clés ?
Merci en tout cas de relayer ces infos
Stéphane Péchard : À l’annonce d’une faille potentielle pour un certain type de clés il y a un moment, il y avait eu une migration massive d’un nombre important de développeurs. Les annonces de création de nouvelles clés en 4096R défilaient sur planet.debian.org 😀
Ça s’est bien calmé suite à cela et j’aurais beaucoup de mal à t’en dire plus sur le temps de la période de transition. Un certain nombre de développeurs Debian disparaissent et ne changeront donc jamais leurs clés. D’autres vont se réveiller en catastrophe, je suis ici dans des suppositions, je n’ai pas d’exemples précis à te donner.
Étant donné le nombre important de développeurs Debian, chaque transition requière du travail et de la bonne volonté, d’où le remerciement à l’équipe des responsables du trousseau de clés Debian.