Les responsables du trousseau de clés de chiffrement de Debian renforcent leurs exigences

Suivez-moi sur Identi.ca : http://identi.ca/carlchenet

La sécurité du projet Debian impose à chaque développeur et responsable Debian de possèder une paire de clés de chiffrement permettant de chiffrer mais surtout d’authentifier ses échanges. Lorsque le développeur signe ses e-mails ou les paquets dont il a la charge, le projet est ainsi certain de connaître l’identité de l’émetteur.

Il faut ajouter à cela le fait que Debian est un projet fortement décentralisé dans son fonctionnement. Certains développeurs sont actifs un moment, disparaissent quelques mois avant de se remanifester, etc. Il apparaît donc difficile d’instaurer des usages communs à tous les développeurs Debian de manière arbitraire et après coup sans observer un lag et des périodes de transition importantes. Ce qui peut poser problème en matière de sécurité.

Grâce à l’équipe des responsables du trousseau de clés de Debian, toutes les clés PGP version 3 qui posaient des problèmes ont été remplacées ou supprimées. Ce travail s’insère dans un effort plus global d’évolution de la sécurité associée au trousseau de clés Debian.

En effet bien qu’aucune vulnérabilité ne soit connue pour les clés 1024 DSA (SHA1) à l’heure actuelle, les responsables du trousseau ont décidé de ne plus accepter de clés de ce type lors de la création d’un nouveau compte de développeurs ou de remplacement de clé. La recommandation actuelle est de créer une clé de 4096 RSA (SHA2).

Un grand merci donc à l’équipe des responsables du trousseau de clés Debian, qui permet la sécurité quotidienne des échanges et envois d’informations et de paquets entre développeurs ou vers l’archive officielle du projet.