Názory k článku
PyPI odstraňuje podporu podepisování pomocí PGP

Presne toto je PGP a jeho bezpesnost v skratke.

Toto o PGP a jeho bezpečnosti neříká vůbec nic.

A je za to nějaká náhrada nebo jiný bezpečnostní prvek?

Nemam prehled jake jsou bezpecnostni prvky v Pypi, ale mam dojem, ze se ptate na nahradu na neco, co nefunguje (a zjevne to moc lidem nechybi)

Ale jestvuje, vola sa to PKI a codesigning. Je to standardizovane a funkcne uz desiatky rokov.

ale pořád to je mladší než gpg, to je ještě starší.

Python a pip přišel s pgp někdy kolem verze 2.2 (kolem roku 2000), což je přibližně v době kdy teprve vzniklo rfc3280, které uvádělo codesigning, ale až o pár let později s rfc5280 dostalo dnešní podobu.

Lovím z hlavy, pamatujete si to někdo přesněji?

U pip v současné době nemáme jiné oficiální možnosti jak tohle zajistit.

Priniciplne nemusi ist ani o standardny codesigning, uplne by stacil p7s podpis balicku. Aj tak to bude milionkrat lepsie ako PGP.

ono to funguje, jen to skoro nikdo nepoužívá. On Pypi těch bezpečnostních prvků moc nemá, drtivá většina visí na nahlašování uživateli a pár automatimatickými skeny. Dnes je pip repositář v produkci právě z tohoto důvodu nepoužitelný, hodně jsme přešli na anacondu nebo si držíme lokální mirror pipu, ale to je drahé.

Asi 30 % těchto klíčů nebylo možné vůbec najít na veřejných keyserverech, takže bylo obtížné nebo nemožné tyto podpisy smysluplně ověřit.

Tradiční veřejné keyservery jsou sice v současné době opravdu v krizi, ale nejsou zdaleka jediným použitelným zdrojem. Poslední dobou třeba veřejné klíče získávám častěji z Githubu nebo gitového repozitáře kernel.org.

Takovy zpusob ovsem narazi na to, ze verejny klic ziskavate na stejnem miste jako kod, ktery muze byt potencialne nezadoucim zpusobem modifikovany :-) Takze kdyz takove uloziste utocnik kompromituje, rovnou si tam krome modifikovaneho kodu vystavi novy verejny klic, ze?

U kernel.org ne, protože jde o samostatný repozitář, takže potenciální útočník by musel (a) mít přistup k původnímu tajnému klíči (a pak by pro něj bylo praktičtější podepsat to rovnou jím), (b) kompromitovat účet Konstantina Ryabitseva nebo (c) kompromitovat rovnou git.kernel.org. Navíc se tu dbá i na to, aby měly všechny klíče dost ověřitelných podpisů.

Na Githubu je to do značné míry pravda, i když taky ne úplně (často API Githubu používám jako zdroj klíčů k podpisům, ke kterým jsem přišel jinde). Ale ani pak na tom z principu nejsem hůř, než když si ten klíč stáhnu z nějakého veřejného keyserveru. (Když je podepsaný někým, komu věřím, je jedno, kde jsem k němu přišel. Když ne, i tak je pořád těžší dostat ho na ten Github.)