Η Red Hat και η Google, μαζί με το Πανεπιστήμιο Purdue ανακοίνωσαν πρόσφατα την ίδρυση του έργου Sigstore., του οποίου Στόχος είναι η δημιουργία εργαλείων και υπηρεσιών για την επαλήθευση λογισμικού μέσω ψηφιακών υπογραφών και να διατηρεί αρχείο δημόσιας διαφάνειας. Το έργο θα αναπτυχθεί υπό την αιγίδα του Linux Foundation, ενός μη κερδοσκοπικού οργανισμού.
Το προτεινόμενο έργο βελτίωση της ασφάλειας των καναλιών διανομής λογισμικού και προστασία από στοχευμένες επιθέσεις για την αντικατάσταση στοιχείων λογισμικού και εξαρτήσεων (αλυσίδα εφοδιασμού). Ένα από τα βασικά ζητήματα ασφάλειας στο λογισμικό ανοιχτού κώδικα είναι η δυσκολία επαλήθευσης της πηγής του προγράμματος και επαλήθευσης της διαδικασίας κατασκευής.
Π.χ. για να επαληθεύσετε την ακεραιότητα μιας έκδοσης, τα περισσότερα έργα χρησιμοποιούν κατακερματισμό, Συχνά όμως οι πληροφορίες που απαιτούνται για τον έλεγχο ταυτότητας αποθηκεύονται σε μη προστατευμένα συστήματα και κοινόχρηστους χώρους αποθήκευσης κώδικα, ως αποτέλεσμα του συμβιβασμού ότι οι εισβολείς μπορούν να αντικαταστήσουν τα αρχεία που χρειάζονται για επαλήθευση και χωρίς να προκαλούν υποψίες, να εισάγουν κακόβουλες αλλαγές.
Μόνο μια μειοψηφία έργων χρησιμοποιεί ψηφιακές υπογραφές για τη διανομή εκδόσεων λόγω της πολυπλοκότητας της διαχείρισης κλειδιών, τη διανομή δημόσιων κλειδιών και την ανάκληση παραβιασμένων κλειδιών. Για να έχει νόημα η επαλήθευση, είναι επίσης απαραίτητο να οργανωθεί μια αξιόπιστη και ασφαλής διαδικασία για τη διανομή δημόσιων κλειδιών και αθροισμάτων ελέγχου. Ακόμη και με μια ψηφιακή υπογραφή, πολλοί χρήστες αγνοούν την επαλήθευση, καθώς χρειάζεται χρόνος για τη μελέτη της διαδικασίας επαλήθευσης και την κατανόηση του κλειδιού που είναι αξιόπιστο.
Σχετικά με το Sigstore
Το Sigstore προωθείται ως ανάλογο του Let's Encrypt για τον κωδικό, σελπαροχή πιστοποιητικών για υπογραφή ψηφιακού κωδικού και εργαλείων για την αυτοματοποίηση της επαλήθευσης. Με το Sigstore, οι προγραμματιστές μπορούν να υπογράψουν ψηφιακά τεχνουργήματα που σχετίζονται με εφαρμογές, όπως αρχεία έκδοσης, εικόνες κοντέινερ, δηλώσεις και εκτελέσιμα αρχεία. Ένα χαρακτηριστικό του Sigstore είναι ότι το υλικό που χρησιμοποιείται για την υπογραφή αντικατοπτρίζεται σε ένα δημόσιο αρχείο που προστατεύεται από αλλαγές, το οποίο μπορεί να χρησιμοποιηθεί για επαλήθευση και έλεγχο.
Αντί για σταθερά κλειδιά, Το Sigstore χρησιμοποιεί εφήμερα κλειδιά μικρής διάρκειας, που δημιουργούνται με βάση τα διαπιστευτήρια που επιβεβαιώνονται από τους παρόχους OpenID Connect (τη στιγμή που δημιουργούνται τα κλειδιά για την ψηφιακή υπογραφή, ο προγραμματιστής προσδιορίζεται μέσω του παρόχου OpenID με έναν σύνδεσμο email). Η αυθεντικότητα των κλειδιών ελέγχεται σε σχέση με το κεντρικό δημόσιο μητρώο, επιτρέποντάς σας να διασφαλίσετε ότι ο συντάκτης της υπογραφής είναι ακριβώς αυτός που λένε ότι είναι και ότι η υπογραφή σχηματίστηκε από το ίδιο μέρος που ήταν υπεύθυνο για τις προηγούμενες εκδόσεις.
Το Sigstore παρέχει μια έτοιμη προς χρήση υπηρεσία και ένα σύνολο εργαλείων που σας επιτρέπουν να εφαρμόσετε παρόμοιες υπηρεσίες στον υπολογιστή σας. Η υπηρεσία είναι δωρεάν για όλους τους προγραμματιστές και προμηθευτές λογισμικού και υλοποιείται σε μια ουδέτερη πλατφόρμα: το Linux Foundation. Όλα τα στοιχεία της υπηρεσίας είναι ανοιχτού κώδικα, γραμμένα στη γλώσσα Go και διανέμονται με την άδεια Apache 2.0.
Από τα στοιχεία που αναπτύσσονται, μπορεί να σημειωθεί:
- Rekor: Μια υλοποίηση ενός μητρώου για την αποθήκευση ψηφιακά υπογεγραμμένων μεταδεδομένων που αντικατοπτρίζουν πληροφορίες για έργα. Για να διασφαλιστεί η ακεραιότητα και η προστασία από την παραμόρφωση δεδομένων, η δομή δέντρου "Tree Merkle" χρησιμοποιείται αναδρομικά, όπου κάθε κλάδος ελέγχει όλα τα υποκείμενα νήματα και εξαρτήματα, χάρη σε μια συνάρτηση κατακερματισμού.
- Fulcio (SigStore WebPKI) ένα σύστημα για τη δημιουργία αρχών πιστοποίησης (Root-CA) που εκδίδουν βραχυπρόθεσμα πιστοποιητικά που βασίζονται σε επικυρωμένα μηνύματα ηλεκτρονικού ταχυδρομείου μέσω του OpenID Connect. Η διάρκεια ζωής του πιστοποιητικού είναι 20 λεπτά, κατά τη διάρκεια των οποίων ο προγραμματιστής πρέπει να έχει χρόνο για να δημιουργήσει μια ψηφιακή υπογραφή (αν το πιστοποιητικό πέσει στα χέρια ενός εισβολέα στο μέλλον, θα λήξει ήδη).
- Сosign (Container Signing) ένα σύνολο εργαλείων για τη δημιουργία υπογραφών σε κοντέινερ, επαληθεύστε τις υπογραφές και τοποθετήστε υπογεγραμμένα κοντέινερ σε αποθετήρια συμβατά με το OCI (Open Container Initiative).
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό το έργο, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.