Sigstore, salauskoodin vahvistuspalvelu Red Hatilta ja Googlelta

Red Hat ja Google sekä Purduen yliopisto ilmoittivat äskettäin Sigstore-projektin perustamisesta, jonka Tavoitteena on luoda työkaluja ja palveluja ohjelmistojen todentamiseksi digitaalisilla allekirjoituksilla ja ylläpitää julkista avoimuusrekisteriä. Projekti kehitetään voittoa tavoittelemattoman järjestön Linux Foundationin alaisuudessa.

Ehdotettu projekti parantaa ohjelmistojen jakelukanavien turvallisuutta ja suojaa kohdistetuilta hyökkäyksiltä korvata ohjelmistokomponentit ja riippuvuudet (toimitusketju). Yksi avoimen lähdekoodin ohjelmistojen tärkeimmistä tietoturvaongelmista on vaikeus tarkistaa ohjelman lähde ja tarkistaa rakennusprosessi.

Esimerkiksi version eheyden tarkistamiseksi, useimmat projektit käyttävät hashia, Mutta todentamiseen tarvittavat tiedot tallennetaan usein suojaamattomiin järjestelmiin ja jaettuihin koodivarastoihin, minkä seurauksena hyökkääjät voivat korvata tarkistukseen tarvittavat tiedostot ja herättämättä epäilyksiä, tehdä haitallisia muutoksia.

Vain pieni osa projekteista käyttää digitaalisia allekirjoituksia jakamaan julkaisuja avaimen hallinnan monimutkaisuuden vuoksi, julkisten avainten jakaminen ja vaarantuneiden avainten kumoaminen. Jotta vahvistaminen olisi järkevää, sinun on myös järjestettävä luotettava ja turvallinen prosessi julkisten avainten ja tarkistussummien jakamiseksi. Jopa digitaalisella allekirjoituksella monet käyttäjät jättävät huomiotta vahvistamisen, koska vahvistusprosessin tutkiminen ja ymmärtäminen, mikä avain luotetaan, vie aikaa.

Tietoja Sigstoresta

Sigstorea mainostetaan Let's Encrypt -analogina koodi, sdigitaalisten koodien allekirjoittamista koskevien varmenteiden ja todentamisen automatisointivälineiden tarjoaminen. Sigstoren avulla kehittäjät voivat allekirjoittaa digitaalisesti sovelluksiin liittyvät esineet, kuten käynnistystiedostot, konttikuvat, manifestit ja suoritettavat tiedostot. Sigstoren ominaisuus on, että allekirjoittamiseen käytetty materiaali heijastuu muutoksilta suojattuun julkiseen tietueeseen, jota voidaan käyttää todentamiseen ja tarkastamiseen.

Vakionäppäinten sijaan Sigstore käyttää lyhytaikaisia ​​lyhytaikaisia ​​avaimia, Ne luodaan OpenID Connect -palveluntarjoajien vahvistamien tunnistetietojen perusteella (kun digitaalisen allekirjoituksen avaimet luodaan, kehittäjä tunnistetaan OpenID-palveluntarjoajan kautta sähköpostilinkillä). Avainten aitous tarkistetaan keskitetyn julkisen tietueen perusteella, jolloin voit varmistaa, että allekirjoituksen tekijä on täsmälleen kuka väittää olevansa ja että allekirjoituksen on muodostanut sama osallistuja, joka oli vastuussa edellisistä versioista.

Sigstore tarjoaa käyttövalmiin palvelun ja joukon työkaluja, joiden avulla voit toteuttaa vastaavia palveluja tietokoneellasi. Palvelu on ilmainen kaikille ohjelmistokehittäjille ja toimittajille, ja se toteutetaan neutraalilla alustalla: Linux Foundationilla. Kaikki palvelun komponentit ovat avoimen lähdekoodin, kirjoitettu Go-kielellä, ja niitä jaetaan Apache 2.0 -lisenssillä.

Kehitettävistä komponenteista voidaan todeta:

  • Rekor: rekisterin toteutus digitaalisesti allekirjoitettujen metatietojen tallentamiseksi jotka heijastavat tietoa projekteista. Eheyden ja suojan tietojen vääristymiltä takaamiseksi "Tree Merkle" -puurakennetta käytetään taannehtivasti, jolloin jokainen haara tarkistaa kaikki säikeet ja taustalla olevat komponentit hash-toiminnon ansiosta.
  • Fulcio (SigStore WebPKI) järjestelmä sertifiointiviranomaisten luomiseksi (Root-CA), jotka myöntävät lyhytaikaisia ​​varmenteita todennettujen sähköpostien perusteella OpenID Connectin kautta. Varmenteen käyttöikä on 20 minuuttia, jonka aikana kehittäjällä on oltava aikaa luoda digitaalinen allekirjoitus (jos tulevaisuudessa varmenne joutuu hyökkääjän käsiin, se vanhenee).
  • Сosign (Container Signing) joukko työkaluja allekirjoitusten luomiseen kontteihin, tarkista allekirjoitukset ja sijoita allekirjoitetut säilöt OCI (Open Container Initiative) -yhteensopiviin arkistoihin.

Lopuksi, jos haluat tietää enemmän tästä projektista, voit tutustua yksityiskohtiin Seuraavassa linkissä.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.