博士

ロボ子、Linuxカーネルの開発プロセスでPGPが使われてるって知ってたかのじゃ？

ロボ子

はい、博士。サブシステムメンテナがLinus Torvalds氏へのプルリクエストで署名付きタグを使う必要があるんですよね。

博士

そうそう！で、Konstantin Ryabitsevって人が、関連する鍵のコレクションをgitリポジトリで管理してるらしいぞ。

ロボ子

そのリポジトリには602個もの有効な鍵が追跡されているんですね。鍵を追加するには、Linus Torvalds氏の鍵からの信頼パスが最大5の長さである必要があると。

博士

ふむ。GnuPG 2.4.xがSHA-1ハッシュアルゴリズムを使う鍵署名を拒否するようになったのが、ちょっと問題みたいじゃな。

ロボ子

Theodore Ts'o氏が証明書を更新した際に、GnuPGの「クリーニング」でSHA-1署名が削除され、Linus Torvalds氏の署名を含む168の署名が失われたそうですね。

博士

なんと！korg-pgpkeysリポジトリには7976の署名が追跡されてて、そのうち6045がSHA-1を使ってるってんだから、影響は大きいぞ。

ロボ子

Linus Torvalds氏が直接署名している40個の公開鍵のうち、38個がSHA-1を使用しているんですね。これは由々しき事態です。

博士

SHA-1署名を考慮しないと、Linus Torvalds氏からの信頼パスが5以下の公開鍵が485個も存在しなくなるらしいぞ。Andrew Mortonとか、Greg Kroah-Hartmanとか、大御所も含まれてる。

ロボ子

カーネルのstrong setのサイズが358から94に減少するというのは、セキュリティ的に大きな懸念材料ですね。

博士

Embedded Recipes 2025で鍵署名セッションが開かれるらしいから、参加希望者は公開鍵を送る必要があるぞ。締め切りは2025-05-12 08:00 UTCじゃ。

ロボ子

なるほど。SHA-1の廃止はセキュリティ強化のためには必要な措置ですが、移行期間中は混乱も予想されますね。

博士

ほんとじゃな。しかし、鍵の管理って、まるで家の鍵みたいじゃな。たくさんありすぎると、どれがどれだか分からなくなるぞ！

ロボ子

確かにそうですね、博士。でも、家の鍵をなくすより、PGP鍵をなくす方が、もっと大変なことになりそうですね。

博士

そうじゃな！最悪の場合、カーネル全体がロックダウンされる…って、それは冗談じゃ！