Red Hat et Google, ainsi que l'Université Purdue ont récemment annoncé la création du projet SigstoreDont l'objectif est de créer des outils et des services pour vérifier les logiciels à l'aide de signatures numériques et tenir un registre public de transparence. Le projet sera développé sous les auspices de la Linux Foundation, une organisation à but non lucratif.
Le projet proposé améliorer la sécurité des canaux de distribution de logiciels et se protéger contre les attaques ciblées pour remplacer les composants logiciels et les dépendances (chaîne d'approvisionnement). L'une des principales préoccupations en matière de sécurité dans les logiciels open source est la difficulté de vérifier la source du programme et de vérifier le processus de construction.
Par exemple, pour vérifier l'intégrité d'une version, la plupart des projets utilisent le hachage, Mais souvent, les informations requises pour l'authentification sont stockées dans des systèmes non protégés et dans des référentiels de code partagés, à la suite du compromis dont les attaquants peuvent remplacer les fichiers nécessaires à la vérification et sans éveiller les soupçons, introduire des changements malveillants.
Seule une minorité de projets utilise des signatures numériques pour distribuer des versions en raison de la complexité de la gestion des clés, la distribution des clés publiques et la révocation des clés compromises. Pour que la vérification ait un sens, vous devez également organiser un processus fiable et sécurisé de distribution des clés publiques et des sommes de contrôle. Même avec une signature numérique, de nombreux utilisateurs ignorent la vérification car il faut du temps pour étudier le processus de vérification et comprendre quelle clé est fiable.
À propos de Sigstore
Sigstore est promu comme un analogue de Let's Encrypt pour le code, pfournir des certificats pour la signature de code numérique et des outils pour automatiser la vérification. Avec Sigstore, les développeurs peuvent signer numériquement des artefacts liés aux applications tels que des fichiers de lancement, des images de conteneur, des manifestes et des exécutables. Une caractéristique de Sigstore est que le matériel utilisé pour la signature est reflété dans un enregistrement public protégé contre les modifications, qui peut être utilisé pour la vérification et l'audit.
Au lieu de clés constantes, Sigstore utilise des clés éphémères de courte durée, Ils sont générés sur la base des informations d'identification confirmées par les fournisseurs OpenID Connect (au moment où les clés de la signature numérique sont générées, le développeur est identifié via le fournisseur OpenID avec un lien e-mail). L'authenticité des clés est vérifiée par rapport au dossier public centralisé, ce qui vous permet de vous assurer que l'auteur de la signature est exactement celui qu'il prétend être et que la signature a été formée par le même participant qui était responsable des versions précédentes.
Sigstore fournit un service prêt à l'emploi et un ensemble d'outils qui vous permettent de mettre en œuvre des services similaires sur votre ordinateur. Le service est gratuit pour tous les développeurs et éditeurs de logiciels, et est implémenté sur une plateforme neutre: la Linux Foundation. Tous les composants du service sont open source, écrits dans le langage Go et distribués sous la licence Apache 2.0.
Parmi les composants en cours de développement, on peut noter:
- Rekor: une implémentation d'un registre pour stocker des métadonnées signées numériquement qui reflètent des informations sur les projets. Pour garantir l'intégrité et la protection contre la distorsion des données, l'arborescence "Tree Merkle" est utilisée rétroactivement, où chaque branche vérifie tous les threads et composants sous-jacents, grâce à une fonction de hachage.
- Fulcio (SigStore WebPKI) un système de création d'autorités de certification (Root-CA) qui émettent des certificats de courte durée basés sur des e-mails authentifiés via OpenID Connect. La durée de vie du certificat est de 20 minutes, période pendant laquelle le développeur doit avoir le temps de générer une signature numérique (si à l'avenir le certificat tombe entre les mains d'un attaquant, il expirera).
- Сosign (Container Signing) un ensemble d'outils pour générer des signatures dans des conteneurs, vérifiez les signatures et placez les conteneurs signés dans des référentiels compatibles OCI (Open Container Initiative).
Enfin, si vous souhaitez en savoir plus sur ce projet, vous pouvez consulter les détails dans le lien suivant.