Red Hat i Google, juntament amb Purdue University van donar a conèixer fa poc la fundació de el projecte Sigstore, El objectiu és crear eines i serveis per verificar programari mitjançant signatures digitals i mantenir un registre de transparència públic. El projecte es desenvoluparà sota els auspicis de la Fundació Linux, una organització sense ànim de lucre.
El projecte proposat millorarà la seguretat dels canals de distribució de programari i protegirà contra atacs destinats a reemplaçar components i dependències de programari (cadena de subministrament). Una de les preocupacions de seguretat clau en el programari de codi obert és la dificultat de verificar la font de el programa i verificar el procés de construcció.
Per exemple, per verificar la integritat d'una versió, la majoria dels projectes usen hash, però sovint la informació requerida per a l'autenticació s'emmagatzema en sistemes desprotegits i en repositoris de codi compartit, com a resultat de el compromís de què atacants poden reemplaçar els arxius necessaris per a la verificació i sense despertar sospites, introduir canvis maliciosos.
Només una minoria de projectes utilitza signatures digitals per distribuir llançaments a causa de les complexitats de la gestió de claus, la distribució de claus públiques i la revocació de claus compromeses. Perquè la verificació tingui sentit, també cal organitzar un procés fiable i segur per a distribuir claus públiques i sumes de verificació. Fins i tot amb una signatura digital, molts usuaris ignoren la verificació, ja que cal dedicar temps a estudiar el procés de verificació i comprendre què clau és fiable.
sobre Sigstore
Sigstore es promociona com un anàleg de Let 's Encrypt per el codi, proporcionando certificats per a la signatura digital de codi i eines per automatitzar la verificació. Amb Sigstore, els desenvolupadors poden signar digitalment artefactes relacionats amb l'aplicació, com arxius de llançament, imatges de contenidors, manifestos i executables. Una característica d'Sigstore és que el material utilitzat per a la signatura es reflecteix en un registre públic protegit de canvis, que es pot utilitzar per a verificació i auditoria.
En lloc de claus constants, Sigstore utilitza claus efímeres de curta durada, que es generen en funció de les credencials confirmades pels proveïdors d'OpenID Connect (en el moment en què es generen les claus per a la signatura digital, el desenvolupador s'identifica a través del proveïdor d'OpenID amb un enllaç de correu electrònic). L'autenticitat de les claus es compara amb el registre públic centralitzat, el que li permet assegurar-se que l'autor de la signatura és exactament qui diu ser i que la signatura va ser formada pel mateix participant que va ser responsable de les versions anteriors.
Sigstore proporciona un servei llest per a usar i un conjunt d'eines que permeten implementar serveis similars en el seu equip. El servei és gratuït per a tots els desenvolupadors i proveïdors de programari, i s'implementa en una plataforma neutral: la Linux Foundation. Tots els components de l'servei són de codi obert, estan escrits en el llenguatge Go i es distribueixen sota la llicència Apache 2.0.
Dels components que s'estan desenvolupant, es pot assenyalar:
- Rekor: una implementació d'un registre per emmagatzemar metadades signats digitalment que reflecteixen informació sobre projectes. Per garantir la integritat i protecció contra la distorsió de les dades s'utilitza retroactivament l'estructura d'arbre «Tree Merkle», on cada branca verifica tots els fils i els components subjacents, gràcies a una funció hash.
- Fulcio (SigStore WebPKI) un sistema per a la creació d'autoritats de certificació (Root-CA) que emeten certificats de curta durada basats en correus electrònics autenticats mitjançant OpenID Connect. La vida útil de l'certificat és de 20 minuts, durant els quals el desenvolupador ha de tenir temps per generar una signatura digital (si en el futur el certificat cau en mans d'un atacant, ja caduca).
- Сosign (Container Signing) un conjunt d'eines per generar signatures en contenidors, Verificar signatures i col·locar contenidors signats en repositoris compatibles amb OCI (Open Container Initiative).
Finalment si estàs interessat en conèixer més a l'respecte sobre aquest projecte, pots consultar els detalls en el següent enllaç.