Red Hat и Google, заедно с университета Purdue наскоро обявиха основаването на проекта Sigstore, чийто Целта е да се създадат инструменти и услуги за проверка на софтуер с помощта на цифрови подписи и поддържа публичен регистър за прозрачност. Проектът ще бъде разработен под егидата на Linux Foundation, организация с нестопанска цел.
Предложеният проект повишаване на сигурността на каналите за разпространение на софтуер и защита срещу целенасочени атаки за подмяна на софтуерни компоненти и зависимости (верига на доставки). Един от ключовите проблеми със сигурността в софтуера с отворен код е трудността да се провери източникът на програмата и да се провери процесът на изграждане.
Например за да проверите целостта на дадена версия, повечето проекти използват хеш, Но често информацията, необходима за удостоверяване, се съхранява в незащитени системи и в хранилища на споделен код, в резултат на компрометирането на които нападателите могат да заменят файловете, необходими за проверка и без да предизвикват подозрения, да въведат злонамерени промени.
Само малка част от проектите използват цифрови подписи за разпространение на издания поради сложността на управлението на ключове, разпространението на публични ключове и отнемането на компрометирани ключове. За да има смисъл проверката, трябва също да организирате надежден и сигурен процес за разпространение на публични ключове и контролни суми. Дори и с цифров подпис, много потребители пренебрегват проверката, тъй като отнема време да проучат процеса на проверка и да разберат на кой ключ се вярва.
Относно Sigstore
Sigstore се рекламира като аналог Let's Encrypt за кода, стрпредоставяне на сертификати за подписване на цифров код и инструменти за автоматизиране на проверката. Със Sigstore разработчиците могат да подписват цифрово артефакти, свързани с приложения, като стартови файлове, изображения на контейнери, манифести и изпълними файлове. Характеристика на Sigstore е, че материалът, използван за подписване, се отразява в публичен запис, защитен от промени, който може да се използва за проверка и одит.
Вместо постоянни ключове, Sigstore използва краткотрайни ефимерни ключове, Те се генерират въз основа на идентификационните данни, потвърдени от доставчиците на OpenID Connect (в момента на генериране на ключовете за цифровия подпис разработчикът се идентифицира чрез доставчика на OpenID с имейл връзка). Автентичността на ключовете се проверява спрямо централизирания публичен запис, което ви позволява да се уверите, че авторът на подписа е точно този, за когото се представя и че подписът е формиран от същия участник, който е отговорен за предишни версии.
Sigstore предлага готова за употреба услуга и набор от инструменти, които ви позволяват да внедрите подобни услуги на вашия компютър. Услугата е безплатна за всички разработчици и доставчици на софтуер и е внедрена на неутрална платформа: Linux Foundation. Всички компоненти на услугата са с отворен код, написани на езика Go и се разпространяват под лиценза Apache 2.0.
От компонентите, които се разработват, може да се отбележи:
- Rekor: изпълнение на регистър за съхраняване на цифрово подписани метаданни които отразяват информация за проекти. За да се гарантира целостта и защитата срещу изкривяване на данни, дървесната структура "Tree Merkle" се използва със задна дата, където всеки клон проверява всички нишки и основните компоненти, благодарение на хеш функция.
- Fulcio (SigStore WebPKI) система за създаване на сертифициращи органи (Root-CA), които издават краткотрайни сертификати въз основа на удостоверени имейли чрез OpenID Connect. Животът на сертификата е 20 минути, като през това време разработчикът трябва да има време да генерира цифров подпис (ако в бъдеще сертификатът попадне в ръцете на нападател, той изтича).
- Подписване (подписване на контейнери) набор от инструменти за генериране на подписи в контейнери, проверете подписите и поставете подписани контейнери в хранилища, съвместими с OCI (Open Container Initiative).
И накрая, ако се интересувате да научите повече за този проект, можете да се консултирате с подробностите В следващия линк.