Red Hat i Google, zajedno sa Sveučilištem Purdue nedavno su najavili osnivanje projekta Sigstore, čiji Cilj je stvoriti alate i usluge za provjeru softvera pomoću digitalnih potpisa i održavati javni registar transparentnosti. Projekt će se razvijati pod pokroviteljstvom Linux Foundation, neprofitne organizacije.
Predloženi projekt poboljšati sigurnost kanala za distribuciju softvera i zaštititi od ciljanih napada zamijeniti softverske komponente i ovisnosti (opskrbni lanac). Jedna od ključnih sigurnosnih briga u softveru otvorenog koda je poteškoća u provjeri izvora programa i provjeri postupka izrade.
Npr. za provjeru cjelovitosti verzije, većina projekata koristi hash, No, često se podaci potrebni za provjeru autentičnosti pohranjuju u nezaštićenim sustavima i u zajedničkim spremištima koda, što rezultira čijim kompromisom napadači mogu zamijeniti datoteke potrebne za provjeru i bez izazivanja sumnje uvesti zlonamjerne promjene.
Samo manji broj projekata koristi digitalne potpise za distribuciju izdanja zbog složenosti upravljanja ključevima, raspodjela javnih ključeva i opoziv ugroženih ključeva. Da bi verifikacija imala smisla, također morate organizirati pouzdan i siguran postupak distribucije javnih ključeva i kontrolnih suma. Čak i s digitalnim potpisom, mnogi korisnici zanemaruju provjeru, jer je potrebno vrijeme za proučavanje postupka provjere i razumijevanje kojem se ključu vjeruje.
O Sigstoreu
Sigstore se promovira kao Let's Encrypt analog za kod, strpružanje certifikata za digitalno potpisivanje koda i alata za automatizaciju provjere. Uz Sigstore programeri mogu digitalno potpisivati artefakte povezane s aplikacijama, poput datoteka za pokretanje, slika spremnika, manifesta i izvršnih datoteka. Značajka Sigstorea je da se materijal korišten za potpisivanje odražava u javnom zapisu zaštićenom od promjena, koji se može koristiti za provjeru i reviziju.
Umjesto stalnih tipki, Sigstore koristi kratkotrajne efemerne ključeve, Oni se generiraju na temelju vjerodajnica koje su potvrdili davatelji usluga OpenID Connect (u vrijeme generiranja ključeva za digitalni potpis programer se identificira putem davatelja usluga OpenID s vezom e-pošte). Autentičnost ključeva provjerava se u centraliziranoj javnoj evidenciji, što vam omogućuje da osigurate da je autor potpisa točno onaj za koga tvrdi da jest i da je potpis oblikovao isti sudionik koji je bio odgovoran za prethodne verzije.
Sigstore nudi uslugu spremnu za upotrebu i set alata koji vam omogućuju da slične usluge implementirate na svoje računalo. Usluga je besplatna za sve programere i dobavljače softvera, a implementirana je na neutralnoj platformi: Linux Foundation. Sve su komponente usluge otvorenog koda, napisane na jeziku Go i distribuiraju se pod licencom Apache 2.0.
Od komponenata koje se razvijaju, može se primijetiti:
- Rekor: implementacija registra za pohranu digitalno potpisanih metapodataka koji odražavaju informacije o projektima. Kako bi se zajamčio integritet i zaštita od iskrivljenja podataka, retroaktivno se koristi struktura stabla "Tree Merkle", gdje svaka grana provjerava sve niti i osnovne komponente, zahvaljujući hash funkciji.
- Fulcio (SigStore WebPKI) sustav za stvaranje tijela za ovjeru (Root-CA) koji izdaju kratkotrajne certifikate na temelju ovjerenih e-adresa putem OpenID Connect. Životni vijek certifikata je 20 minuta, a za to vrijeme programer mora imati vremena za generiranje digitalnog potpisa (ako certifikat u budućnosti padne u ruke napadača, istječe).
- Sign (Container Signing) skup alata za generiranje potpisa u spremnicima, provjerite potpise i stavite potpisane spremnike u spremišta sukladna OCI-u (Open Container Initiative).
Napokon, ako vas zanima više o ovom projektu, možete potražiti detalje U sljedećem linku.