Python Software Foundation による PGP 署名を Sigstore に置き換える提案が、開発者コミュニティ内で大きな議論を巻き起こしています。特にパッケージ検証の信頼性と強制的な採用の影響について、懸念が示されています。
Pythonパッケージ検証の現状
最近の調査で、現行の PGP 検証システムに関する懸念すべき問題が明らかになりました。2023年5月に実施された監査によると、 PyPI 上のパッケージ署名に使用された1,069個の固有キーについて:
- 30%が主要な公開キーサーバーで発見できない
- 残りの71%のうち、約半数が有意義な検証ができない
- バージョン2.7以前の CPython リリースでも検証に課題がある
提案された移行計画
PSF のセキュリティ開発者である Seth Myhre Larson は、来年までに完全に Sigstore へ移行することを提案しています。この移行は、オープンソース文化に深く根付いている従来の PGP 署名方式からの大きな転換となります。
主な相違点と影響
Sigstore のアプローチ
- OpenID Connect(OIDC)を使用した本人確認
- PGP キーの手動管理が不要
- 信頼の輪ではなく、中央集権的な認証機関に依存
- 単一使用の証明書とパブリックレジャーによる認証を実装
コミュニティの懸念事項
- 強制的な採用 :一部のコミュニティメンバーは、PGP サポートの完全な廃止がオープンソースの選択の自由の原則に反すると主張
- ディストリビューションへの影響 :主要な Linux ディストリビューションには現在 Sigstore との連携プロセスが欠如
- 中央集権化 :新システムが限られた数のプロバイダーに依存
代替案
コミュニティメンバーの一部は、以下を含む他の検証方法の検討を提案しています:
- ブロックチェーンベースの検証を用いた W3C DID
- Verifiable Credentials(VC)
- TUF および Uptane の実装
- PGP と Sigstore の両方をサポートするハイブリッドアプローチ
この移行は、Python のセキュリティインフラストラクチャにおける重要な転換点であり、最新のセキュリティニーズとコミュニティの選好、実用的な実装の課題とのバランスを取る必要があります。