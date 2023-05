De Python Package Index (PyPI) heeft besloten om te stoppen met de support voor PGP-signatures. Aanleiding is een reeks van lang bekende problemen. Via een PGP-signature kan een ontwikkelaar zijn package van een digitale handtekening voorzien, die vervolgens door gebruikers is te verifiëren. In de praktijk blijkt dat bij PyPI anders uit te pakken.

Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. De ontwikkelaars van deze packages kunnen via PGP hun package van een digitale handtekening voorzien. Hiervoor wordt gebruikgemaakt van private-public key cryptografie, waarbij er een public key beschikbaar moet zijn om de signature te verifiëren. Dergelijke keys zijn vaak via public key-servers te vinden.

Uit onderzoek blijkt dat de afgelopen drie jaar er door 1069 unieke keys zo'n vijftigduizend digitale signatures naar PyPI zijn geüpload. Van die 1069 keys was dertig procent echter niet beschikbaar op een grote public key-server, waardoor het zo goed als onmogelijk was om de digitale handtekening te controleren. Van de resterende 71 procent bleek de helft niet op zinvolle wijze te verifiëren.

"Anders gezegd, van al die unieke keys die signatures naar PyPI hebben geüpload, was het bij slechts 36 procent mogelijk om ze op zinvolle wijze te verifiëren. Zelfs als alle signatures die de afgelopen drie jaar werden geüpload door één van deze keys was gemaakt, zou dat nog altijd slechts 0,3 procent van al die bestanden vertegenwoordigen", zegt PyPI-beheerder Donald Stufft. Volgens Stufft valt het dan ook niet langer te verdedigen om het uploaden van PGP-signatures naar PyPI te blijven ondersteunen.