<div dir="ltr">If they sign with something that is detached (like a SLSA / in-toto attestation), then this would still be reproducible.  Of course, then you have to ship that along with the artifact you are checking though...<div><br></div><div>Thanks,</div><div>Justin</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Sep 25, 2023 at 12:23 PM Mattia Rizzolo <<a href="mailto:mattia@mapreri.org">mattia@mapreri.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Sep 25, 2023 at 11:41:09AM -0400, David A. Wheeler wrote:<br>
> > ## Kernel modules will be signed with an ephemeral key<br>
> > <br>
> > The modules will not longer be signed using the Secure Boot CA like the<br>
> > EFI kernel image itself.  Instead a key will be created during the build<br>
> > and thrown away after.<br>
> > <br>
> > Yes, this will make the build unreproducible, but no better solution<br>
> > currently exists.  There are some plans, but no-one is working on them.<br>
> > If a suitable replacement shows up, we can always switch to that<br>
> > solution.<br>
> <br>
> Ugh. In the US, the usual retort is, "Other than that, Mrs. Lincoln, how did you enjoy the play?"<br>
> [Context: Abraham Lincoln was murdered at a play. This retort is sometimes used<br>
> when someone is trying to ignore an important issue.]<br>
> <br>
> What exactly are these "plans"?<br>
<br>
There is a follow-up answer from Ben:<br>
<br>
> Builds for the architectures involved are already unreproducible due to<br>
> inconsistent generation of BTF in both the kernel and modules.<br>
> Additionally, my "plan" would also get rid of signing modules with the<br>
> Secure Boot CA, so I'm not going to object to this.<br>
<br>
-- <br>
regards,<br>
                        Mattia Rizzolo<br>
<br>
GPG Key: 66AE 2B4A FCCF 3F52 DA18  4D18 4B04 3FCD B944 4540      .''`.<br>
More about me:  <a href="https://mapreri.org" rel="noreferrer" target="_blank">https://mapreri.org</a>                             : :'  :<br>
Launchpad user: <a href="https://launchpad.net/~mapreri" rel="noreferrer" target="_blank">https://launchpad.net/~mapreri</a>                  `. `'`<br>
Debian QA page: <a href="https://qa.debian.org/developer.php?login=mattia" rel="noreferrer" target="_blank">https://qa.debian.org/developer.php?login=mattia</a>  `-<br>
</blockquote></div>