Sigstore, kryptografinen varmennusjärjestelmä on jo vakaa

sigstore

Sigstorea voidaan pitää Let's Encrypt koodina, joka tarjoaa varmenteita koodin digitaaliseen allekirjoittamiseen ja työkaluja todentamisen automatisoimiseen.

Google paljasti blogikirjoituksen kautta, ilmoitus ensimmäisten stabiilien versioiden muodostuminen komponentit, jotka muodostavat projektin sigstore, joka on julistettu sopivaksi työskentelyn luomiseen.

Niiden, jotka eivät ole tietoisia Sigstoresta, heidän tulisi tietää, että tämä on projekti tarkoituksena on kehittää ja tarjota työkaluja ja palveluita ohjelmistojen todentamiseen käyttää digitaalisia allekirjoituksia ja ylläpitää julkista rekisteriä, joka vahvistaa muutosten aitouden (avoimuusrekisteri).

Sigstoren kanssa, kehittäjät voivat allekirjoittaa digitaalisesti sovelluksiin liittyvät artefaktit, kuten julkaisutiedostot, säilökuvat, luettelot ja suoritettavat tiedostot. Käytetty materiaali allekirjoitus näkyy väärentämiseltä suojatussa julkisessa tietueessa joita voidaan käyttää todentamiseen ja auditointiin.

Pysyvien avainten sijaan, Sigstore käyttää lyhytikäisiä lyhytaikaisia ​​avaimia jotka on luotu OpenID Connect -palveluntarjoajien vahvistamien valtuustietojen perusteella (digitaalisen allekirjoituksen luomiseen tarvittavia avaimia luotaessa kehittäjä tunnistetaan OpenID-palveluntarjoajan kautta sähköpostilinkillä).

Avainten aitous tarkistetaan keskitetyllä julkisella rekisterillä, jonka avulla voit varmistaa, että allekirjoituksen kirjoittaja on juuri se, joka hän sanoo olevansa ja että allekirjoituksen on laatinut sama osallistuja, joka oli vastuussa aikaisemmista versioista.

Sigstoren valmistelu täytäntöönpanoa varten johtuu kahden avainkomponentin versiointi: Rekor 1.0 ja Fulcio 1.0, jonka ohjelmointirajapinnat on julistettu vakaiksi ja ne säilyttävät vastedes yhteensopivuuden aikaisempien versioiden kanssa. Palvelun komponentit on kirjoitettu Go-kielellä ja ne julkaistaan ​​Apache 2.0 -lisenssin alaisina.

Komponentti Rekor sisältää rekisteritoteutuksen digitaalisesti allekirjoitettujen metatietojen tallentamiseen jotka heijastavat tietoa projekteista. Eheyden ja tietojen suojaamisen varmistamiseksi käytetään Merkle Tree -rakennetta, jossa kukin haara tarkistaa kaikki taustalla olevat haarat ja solmut yhteisen hajautuspuun avulla. Viimeisen tiivisteen avulla käyttäjä voi varmistaa koko toimintahistorian oikeellisuuden sekä tietokannan aiempien tilojen oikeellisuuden (tietokannan uuden tilan juuritarkistushajaus lasketaan aiemman tilan perusteella). Tarjolla on RESTful API uusien tietueiden tarkistamista ja lisäämistä varten sekä komentorivikäyttöliittymä.

Komponentti fulcius (SigStore WebPKI) sisältää järjestelmän varmenneviranomaisten luomiseksi (root CA), jotka myöntävät lyhytikäisiä varmenteita, jotka perustuvat todennettuun sähköpostiin OpenID Connectin kautta. Varmenteen käyttöikä on 20 minuuttia, jonka aikana kehittäjällä on oltava aikaa luoda digitaalinen allekirjoitus (jos varmenne joutuu hyökkääjän käsiin tulevaisuudessa, se on jo vanhentunut). Myös, hankkeessa kehitetään Cosign-työkalupakkia (Container Signing), suunniteltu luomaan allekirjoituksia säilöille, tarkistamaan allekirjoitukset ja sijoittamaan allekirjoitettuja säiliöitä OCI (Open Container Initiative) -yhteensopiviin tietovarastoihin.

Ohjelman käyttöönotto Sigstore mahdollistaa ohjelmistojen jakelukanavien turvallisuuden lisäämisen ja suojaa hyökkäyksiltä, ​​jotka kohdistuvat kirjastoon ja riippuvuuden korvaamiseen (toimitusketju). Yksi avoimen lähdekoodin ohjelmistojen tärkeimmistä tietoturvaongelmista on ohjelman lähteen ja koontiprosessin tarkistamisen vaikeus.

Digitaalisten allekirjoitusten käyttö versioiden varmentamiseen ei ole vielä yleistä avainten hallinnassa, julkisten avainten jakelussa ja vaarantuneiden avainten peruuttamisessa. Jotta todentaminen olisi järkevää, on myös tarpeen järjestää luotettava ja turvallinen prosessi julkisten avainten ja tarkistussummien jakelua varten. Jopa digitaalisella allekirjoituksella monet käyttäjät jättävät vahvistuksen huomioimatta, koska vahvistusprosessin oppiminen ja luotettavan avaimen ymmärtäminen vie aikaa.

Projektia kehitetään voittoa tavoittelemattoman Googlen Linux Foundationin, Red Hatin, Ciscon, vmWaren, GitHubin ja HP ​​Enterprisen alaisuudessa OpenSSF:n (Open Source Security Foundation) ja Purduen yliopiston osallistuessa.

Lopuksi, jos olet kiinnostunut tietämään enemmän siitä, voit tutustua sen yksityiskohtiin seuraava linkki.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.