Red Hat i Google, zajedno sa Univerzitetom Purdue nedavno su najavili osnivanje projekta Sigstore, čiji Cilj je stvoriti alate i usluge za provjeru softvera pomoću digitalnih potpisa i održavati javni registar transparentnosti. Projekt će se razvijati pod pokroviteljstvom Linux Foundation, neprofitne organizacije.
Predloženi projekat poboljšati sigurnost kanala za distribuciju softvera i zaštititi od ciljanih napada zamijeniti softverske komponente i zavisnosti (lanac opskrbe). Jedna od ključnih sigurnosnih briga u softveru otvorenog koda je poteškoća u provjeri izvora programa i verifikaciji procesa izrade.
Na primjer, za provjeru integriteta verzije, većina projekata koristi hash, No, informacije potrebne za provjeru autentičnosti često se pohranjuju u nezaštićenim sistemima i u zajedničkim spremištima koda, što rezultira kompromisom koji napadači mogu zamijeniti datoteke potrebne za provjeru i bez izazivanja sumnje uvesti zlonamjerne promjene.
Samo manji broj projekata koristi digitalne potpise za distribuciju izdanja zbog složenosti upravljanja ključevima, distribucija javnih ključeva i opoziv ugroženih ključeva. Da bi verifikacija imala smisla, također morate organizirati pouzdan i siguran postupak distribucije javnih ključeva i kontrolnih suma. Čak i s digitalnim potpisom, mnogi korisnici zanemaruju provjeru, jer je potrebno vrijeme za proučavanje postupka provjere i razumijevanje kojem se ključu vjeruje.
O Sigstoreu
Sigstore se promovira kao Let's Encrypt analog za kod, strpružanje certifikata za digitalno potpisivanje koda i alata za automatizaciju provjere. Uz Sigstore programeri mogu digitalno potpisivati artefakte povezane s aplikacijama, poput datoteka za pokretanje, slika spremnika, manifesta i izvršnih datoteka. Karakteristika Sigstore-a je da se materijal korišten za potpis odražava u javnom zapisu zaštićenom od promjena, koji se može koristiti za provjeru i reviziju.
Umjesto stalnih ključeva, Sigstore koristi kratkotrajne efemerne ključeve, Oni se generiraju na osnovu vjerodajnica koje su potvrdili dobavljači OpenID Connect (u vrijeme generiranja ključeva za digitalni potpis programer se identificira putem OpenID dobavljača s vezom e-pošte). Autentičnost ključeva provjerava se u centraliziranoj javnoj evidenciji, što vam omogućava da osigurate da je autor potpisa tačno onaj za koga tvrdi da je i da je potpis formirao isti učesnik koji je bio odgovoran za prethodne verzije.
Sigstore nudi uslugu spremnu za upotrebu i set alata koji vam omogućavaju da slične usluge primenite na računaru. Usluga je besplatna za sve programere i dobavljače softvera i implementirana je na neutralnoj platformi: Linux Foundation. Sve komponente usluge su otvorenog koda, napisane su na jeziku Go i distribuiraju se pod licencom Apache 2.0.
Od komponenata koje se razvijaju, može se primijetiti:
- Rekor: implementacija registra za pohranu digitalno potpisanih metapodataka koji odražavaju informacije o projektima. Da bi se zajamčio integritet i zaštita od iskrivljenja podataka, retroaktivno se koristi struktura stabla "Tree Merkle", gdje svaka grana provjerava sve niti i osnovne komponente, zahvaljujući hash funkciji.
- Fulcio (SigStore WebPKI) sistem za stvaranje tijela za ovjeru (Root-CA) koji izdaju kratkotrajne certifikate na osnovu ovjerenih e-adresa putem OpenID Connect. Životni vijek certifikata je 20 minuta, a za to vrijeme programer mora imati vremena za generiranje digitalnog potpisa (ako certifikat u budućnosti padne u ruke napadača, istječe).
- Podpis (Container Signing) skup alata za generiranje potpisa u kontejnerima, provjerite potpise i postavite potpisane spremnike u spremišta sukladna OCI-u (Open Container Initiative).
Konačno, ako ste zainteresirani da saznate više o ovom projektu, možete pogledati detalje Na sledećem linku.