Die polnische Security-Expertin Joanna Rutkowska hat dem KDE-Projekt vorgeschlagen, die Authentizität der veröffentlichten Quelltext-Tarballs mit einer GnuPG-Signatur sicherzustellen.
Derartige Signaturen würden belegen, dass ein Tarball tatsächlich vom KDE-Projekt stamme. Änderungen oder Einschleusen von Malware durch Dritte ließen sich damit ausschließen. Was sich nicht ändere, sei allerdings, dass der User dem KDE-Projekt vertrauen müsse.
Genauer gesagt bezieht sich das Vertrauen auf die Person, die das Paket in das offizielle Archiv hochlädt, in der Regel einen Release Manager. Rutkowska schlägt daher in ihrer Nachricht an die KDE-Mailingliste vor, eine Infrastruktur zu schaffen, die zeitlich begrenzt gültige Schlüssel besitzen und damit die einzelnen Dateien signieren. Die Schlüssel der Release Manager würden ihrerseits mit dem Master Key des Projekts signiert.
Ähnliches praktizieren bereits einige Linux-Distributionen wie beispielsweise Ubuntu, das seinen Deb-Pakete signiert. KDE wendet derzeit noch kein derartiges Verfahren an.
Joanna Rutkowska ist unter anderem für ihre Arbeit zu Security und Virtualisierung bekannt. Mit ihrer Firma Invisible Things Lab produziert sie unter anderem Qubes OS, ein Betriebssystem, das Anwendungen mittels Xen-VMs voneinander isoliert. Im Video-Archiv von Linux-Magazin Online gibt es einen kostenlosen Mitschnitt von Rutkowskas Vortrag “Fighting Stealth Malware” vom DFN-CERT Workshop “Sicherheit in vernetzten Systemen”.
