Red Hat a Google spolu s Purdue University nedávno oznámily založení projektu Sigstorejehož cílem je vytvořit nástroje a služby pro ověřování softwaru pomocí digitálních podpisů a udržovat veřejný registr transparentnosti. Projekt bude vyvinut pod záštitou neziskové organizace Linux Foundation.
Navrhovaný projekt zvýšit bezpečnost distribučních kanálů softwaru a chránit před cílenými útoky nahradit softwarové komponenty a závislosti (dodavatelský řetězec). Jedním z klíčových bezpečnostních problémů v softwaru s otevřeným zdrojovým kódem je obtížnost ověření zdroje programu a ověření procesu sestavení.
Např k ověření integrity verze, většina projektů používá hash, Informace potřebné k ověřování se však často ukládají v nechráněných systémech a ve sdílených úložištích kódu, což je výsledkem kompromisu, který může útočníkům nahradit soubory nezbytné k ověření, a aniž by vzbudil podezření, zavést škodlivé změny.
Pouze malá část projektů používá digitální podpisy k distribuci verzí kvůli složitosti správy klíčů, distribuce veřejných klíčů a odvolání kompromitovaných klíčů. Aby ověření mělo smysl, musíte také zorganizovat spolehlivý a bezpečný proces distribuce veřejných klíčů a kontrolních součtů. I s digitálním podpisem mnoho uživatelů ignoruje ověření, protože je potřeba čas na prostudování procesu ověření a pochopení toho, kterému klíči je důvěryhodný.
O společnosti Sigstore
Sigstore je propagován jako analogový Let's Encrypt pro kód, strposkytování certifikátů pro digitální podepisování kódu a nástrojů k automatizaci ověřování. Díky Sigstore mohou vývojáři digitálně podepisovat artefakty související s aplikacemi, jako jsou spouštěcí soubory, obrázky kontejnerů, manifesty a spustitelné soubory. Funkce Sigstore spočívá v tom, že materiál použitý k podepisování se odráží ve veřejném záznamu chráněném před změnami, který lze použít k ověření a auditu.
Místo konstantních kláves Sigstore používá krátkodobé pomíjivé klíče, Jsou generovány na základě pověření potvrzených poskytovateli OpenID Connect (v době generování klíčů pro digitální podpis je vývojář identifikován prostřednictvím poskytovatele OpenID s e-mailovým odkazem). Autenticita klíčů se kontroluje oproti centralizovanému veřejnému záznamu, což vám umožní zajistit, aby autor podpisu byl přesně tím, za koho se vydává, a že podpis byl vytvořen stejným účastníkem, který byl odpovědný za předchozí verze.
Sigstore poskytuje službu připravenou k použití a sadu nástrojů, které vám umožní implementovat podobné služby do vašeho počítače. Tato služba je zdarma pro všechny vývojáře a dodavatele softwaru a je implementována na neutrální platformě: Linux Foundation. Všechny komponenty služby jsou open source, napsané v jazyce Go a jsou distribuovány pod licencí Apache 2.0.
Z vyvíjených komponent je možné poznamenat:
- Rekor: implementace registru pro ukládání digitálně podepsaných metadat které odrážejí informace o projektech. Aby byla zaručena integrita a ochrana před zkreslením dat, je zpětně použita stromová struktura „Tree Merkle“, kde každá větev díky hašovací funkci ověří všechna vlákna a podkladové komponenty.
- Fulcio (SigStore WebPKI) systém pro vytváření certifikačních autorit (Root-CA), které vydávají krátkodobé certifikáty na základě ověřených e-mailů prostřednictvím OpenID Connect. Životnost certifikátu je 20 minut a během této doby musí mít vývojář čas na vygenerování digitálního podpisu (pokud se certifikát v budoucnu dostane do rukou útočníka, jeho platnost vyprší).
- Сosign (Container Signing) sada nástrojů pro generování podpisů v kontejnerech, ověřte podpisy a umístěte podepsané kontejnery do úložišť vyhovujících OCI (Open Container Initiative).
Nakonec, pokud máte zájem dozvědět se více o tomto projektu, můžete si přečíst podrobnosti Na následujícím odkazu.