Red Hat ja Google koos Purdue ülikooliga teatasid hiljuti Sigstore'i projekti asutamisest, kelle eesmärk on luua tööriistu ja teenuseid tarkvara kontrollimiseks digitaalallkirjade abil ja haldama avalikku läbipaistvusregistrit. Projekt töötatakse välja mittetulundusühingu Linux Foundation eestvedamisel.
Kavandatud projekt suurendada tarkvara levitamiskanalite turvalisust ja kaitsta suunatud rünnakute eest tarkvara komponentide ja sõltuvuste asendamiseks (tarneahel). Avatud lähtekoodiga tarkvara üks peamisi turvaprobleeme on programmi allika ja koostamisprotsessi kontrollimise raskus.
Nt versiooni terviklikkuse kontrollimiseks, enamik projekte kasutab räsi, Kuid sageli salvestatakse autentimiseks vajalik teave kaitsmata süsteemidesse ja jagatud koodihoidlatesse, mille kompromissi tagajärjel saavad ründajad asendada kontrollimiseks vajalikud failid ja kahtlust äratamata viia sisse pahatahtlikke muudatusi.
Ainult vähesed projektid kasutavad võtme haldamise keerukuse tõttu väljaannete levitamiseks digitaalallkirju, avalike võtmete levitamine ja rikutud võtmete tühistamine. Kontrollimise mõistlikkuse saavutamiseks peate korraldama usaldusväärse ja turvalise protsessi avalike võtmete ja kontrollsummade levitamiseks. Isegi digitaalallkirjaga ignoreerivad paljud kasutajad kontrollimist, kuna kontrolliprotsessi uurimine ja usaldusväärse võtme mõistmine võtab aega.
Sigstore'i kohta
Sigstore'i reklaamitakse analoogina Let's Encrypt koodi jaoks lkdigitaalse koodi allkirjastamise sertifikaatide ja kontrollimise automatiseerimise tööriistade pakkumine. Sigstore abil saavad arendajad digitaalselt allkirjastada rakendustega seotud esemeid, nagu käivitusfailid, konteineripildid, manifestid ja käivitatavad failid. Sigstore'i eripära on see, et allkirjastamiseks kasutatud materjal kajastub muudatuste eest kaitstud avalikus registris, mida saab kasutada kontrollimiseks ja auditeerimiseks.
Pidevate võtmete asemel Sigstore kasutab lühiajalisi lühiajalisi võtmeid, Need luuakse OpenID Connecti pakkujate kinnitatud mandaatide põhjal (digitaalallkirja võtmete loomise ajal tuvastatakse arendaja e-posti lingi kaudu OpenID-teenuse pakkuja kaudu). Võtmete autentsust kontrollitakse tsentraliseeritud avaliku registriga, mis võimaldab teil veenduda, et allkirja autor on täpselt see, kes ta väidab end olevat, ja et allkirja koostas sama osaleja, kes vastutas varasemate versioonide eest.
Sigstore pakub kasutusvalmis teenust ja tööriistakomplekti, mis võimaldab teil sarnaseid teenuseid oma arvutis rakendada. Teenus on kõigile tarkvaraarendajatele ja müüjatele tasuta ning seda rakendatakse neutraalsel platvormil: Linux Foundationil. Kõik teenuse komponendid on avatud lähtekoodiga, kirjutatud Go keeles ja neid levitatakse Apache 2.0 litsentsi alusel.
Arendatavatest komponentidest võib märkida:
- Rekor: registri juurutamine digitaalselt allkirjastatud metaandmete salvestamiseks mis kajastavad teavet projektide kohta. Terviklikkuse ja andmete moonutuste eest kaitse tagamiseks kasutatakse puu struktuuri "Tree Merkle" tagasiulatuvalt, kus iga haru kontrollib kõiki rõngaid ja nende komponente tänu räsimisfunktsioonile.
- Fulcio (SigStore WebPKI) süsteem sertifitseerimisasutuste loomiseks (Root-CA), kes väljastavad OpenID Connecti kaudu lühiajalisi sertifikaate autentitud e-kirjade põhjal. Sertifikaadi eluiga on 20 minutit, mille jooksul peab arendajal olema aega digitaalallkirja genereerimiseks (kui tulevikus läheb sertifikaat ründaja kätte, aegub see).
- Сosign (Container Signing) tööriistakomplekt allkirjade genereerimiseks konteinerites, kontrollige allkirju ja asetage allkirjastatud konteinerid OCI (Open Container Initiative) nõuetele vastavatesse hoidlatesse.
Lõpuks, kui olete huvitatud selle projekti kohta lisateabest, võite tutvuda üksikasjadega Järgmisel lingil.