أعلنت شركتا Red Hat و Google جنبًا إلى جنب مع جامعة بوردو مؤخرًا عن تأسيس مشروع Sigstore، ملك من الهدف هو إنشاء أدوات وخدمات للتحقق من البرنامج باستخدام التوقيعات الرقمية والاحتفاظ بسجل للشفافية العامة. سيتم تطوير المشروع تحت رعاية مؤسسة Linux Foundation ، وهي منظمة غير ربحية.
المشروع المقترح تعزيز أمن قنوات توزيع البرامج والحماية من الهجمات المستهدفة لاستبدال مكونات البرامج وتبعياتها (سلسلة التوريد). تتمثل إحدى المخاوف الأمنية الرئيسية في البرامج مفتوحة المصدر في صعوبة التحقق من مصدر البرنامج والتحقق من عملية الإنشاء.
على سبيل المثال للتحقق من سلامة الإصدار, تستخدم معظم المشاريع التجزئة ، ولكن غالبًا ما يتم تخزين المعلومات المطلوبة للمصادقة في أنظمة غير محمية وفي مستودعات الرموز المشتركة ، ونتيجة لذلك يمكن للمهاجمين استبدال الملفات اللازمة للتحقق ودون إثارة الشكوك ، وإدخال تغييرات ضارة.
تستخدم أقلية فقط من المشاريع التوقيعات الرقمية لتوزيع الإصدارات بسبب تعقيدات إدارة المفاتيح ، توزيع المفاتيح العمومية وإلغاء المفاتيح المخترقة. لكي يكون التحقق منطقيًا ، تحتاج أيضًا إلى تنظيم عملية موثوقة وآمنة لتوزيع المفاتيح العامة والمجاميع الاختبارية. حتى مع وجود التوقيع الرقمي ، يتجاهل العديد من المستخدمين التحقق حيث يستغرق الأمر وقتًا لدراسة عملية التحقق وفهم المفتاح الموثوق به.
حول Sigstore
يتم الترويج لـ Sigstore باعتباره تناظري Let's Encrypt للكود ، صتوفير شهادات لتوقيع الرمز الرقمي وأدوات لأتمتة التحقق. باستخدام Sigstore ، يمكن للمطورين التوقيع رقميًا على القطع الأثرية المتعلقة بالتطبيقات مثل ملفات التشغيل ، وصور الحاوية ، والبيانات ، والملفات التنفيذية. تتمثل إحدى ميزات Sigstore في أن المواد المستخدمة للتوقيع تنعكس في سجل عام محمي من التغييرات ، والذي يمكن استخدامه للتحقق والتدقيق.
بدلاً من المفاتيح الثابتة ، يستخدم Sigstore مفاتيح سريعة الزوال قصيرة العمر ، يتم إنشاؤها بناءً على بيانات الاعتماد التي أكدها موفرو OpenID Connect (في الوقت الذي يتم فيه إنشاء مفاتيح التوقيع الرقمي ، يتم تحديد المطور من خلال موفر OpenID برابط بريد إلكتروني). يتم التحقق من أصالة المفاتيح مقابل السجل العام المركزي ، مما يسمح لك بالتأكد من أن مؤلف التوقيع هو بالضبط من يدعي أنه تم تكوين التوقيع من قبل نفس المشارك الذي كان مسؤولاً عن الإصدارات السابقة.
يوفر Sigstore خدمة جاهزة للاستخدام ومجموعة من الأدوات التي تسمح لك بتنفيذ خدمات مماثلة على جهاز الكمبيوتر الخاص بك. الخدمة مجانية لجميع مطوري البرامج وبائعيها ، ويتم تنفيذها على نظام أساسي محايد - مؤسسة Linux. جميع مكونات الخدمة مفتوحة المصدر ، ومكتوبة بلغة Go ، وموزعة بموجب ترخيص Apache 2.0.
من بين المكونات التي يتم تطويرها ، يمكن ملاحظة:
- Rekor: تنفيذ سجل لتخزين البيانات الوصفية الموقعة رقمياً التي تعكس معلومات عن المشاريع. لضمان السلامة والحماية من تشويه البيانات ، يتم استخدام هيكل شجرة "Tree Merkle" بأثر رجعي ، حيث يتحقق كل فرع من جميع الخيوط والمكونات الأساسية ، وذلك بفضل وظيفة التجزئة.
- Fulcio (SigStore WebPKI) نظام لإنشاء المراجع المصدقة (Root-CA) الذي يصدر شهادات قصيرة العمر بناءً على رسائل بريد إلكتروني مصدق عليها من خلال OpenID Connect. تبلغ مدة صلاحية الشهادة 20 دقيقة ، وخلال هذه الفترة يجب أن يتوفر للمطور الوقت لإنشاء توقيع رقمي (إذا وقعت الشهادة في المستقبل في يد أحد المهاجمين ، فستنتهي صلاحيتها).
- Сosign (Container Signing) مجموعة من الأدوات لإنشاء التوقيعات في الحاويات، تحقق من التوقيعات وضع الحاويات الموقعة في مستودعات متوافقة مع OCI (مبادرة الحاوية المفتوحة).
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عن هذا المشروع ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.