Red Hat dan Google, bersama dengan Universitas Purdue baru-baru ini mengumumkan pendirian proyek Sigstore, milik siapa Tujuannya adalah untuk membuat alat dan layanan untuk memverifikasi perangkat lunak menggunakan tanda tangan digital dan memelihara registri transparansi publik. Proyek ini akan dikembangkan di bawah naungan Linux Foundation, sebuah organisasi nirlaba.
Proyek yang diusulkan meningkatkan keamanan saluran distribusi perangkat lunak dan melindungi dari serangan yang ditargetkan untuk mengganti komponen perangkat lunak dan ketergantungan (rantai pasokan). Salah satu masalah keamanan utama dalam perangkat lunak sumber terbuka adalah kesulitan memverifikasi sumber program dan memverifikasi proses pembuatan.
Misalnya untuk memverifikasi integritas versi, sebagian besar proyek menggunakan hash, Tetapi seringkali informasi yang diperlukan untuk otentikasi disimpan dalam sistem yang tidak dilindungi dan dalam repositori kode bersama, sebagai akibat dari kompromi yang mana penyerang dapat mengganti file yang diperlukan untuk verifikasi dan tanpa menimbulkan kecurigaan, memperkenalkan perubahan yang berbahaya.
Hanya sebagian kecil proyek yang menggunakan tanda tangan digital untuk mendistribusikan rilis karena kompleksitas manajemen kunci, distribusi kunci publik dan pencabutan kunci yang disusupi. Agar verifikasi masuk akal, Anda juga perlu mengatur proses yang andal dan aman untuk mendistribusikan kunci publik dan checksum. Bahkan dengan tanda tangan digital, banyak pengguna mengabaikan verifikasi karena memerlukan waktu untuk mempelajari proses verifikasi dan memahami kunci mana yang dipercaya.
Tentang Sigstore
Sigstore dipromosikan sebagai analog Let's Encrypt untuk kodenya, halmemberikan sertifikat untuk penandatanganan kode digital dan alat untuk mengotomatiskan verifikasi. Dengan Sigstore, developer dapat menandatangani artefak terkait aplikasi secara digital seperti file peluncuran, gambar container, manifes, dan file yang dapat dieksekusi. Karakteristik Sigstore adalah bahwa bahan yang digunakan untuk tanda tangan tercermin dalam catatan publik yang dilindungi dari perubahan, yang dapat digunakan untuk verifikasi dan audit.
Alih-alih kunci konstan, Sigstore menggunakan kunci fana berumur pendek, Mereka dibuat berdasarkan kredensial yang dikonfirmasi oleh penyedia OpenID Connect (pada saat kunci untuk tanda tangan digital dibuat, pengembang diidentifikasi melalui penyedia OpenID dengan tautan email). Keaslian kunci diperiksa terhadap catatan publik terpusat, memungkinkan Anda untuk memastikan bahwa penulis tanda tangan persis seperti yang dia klaim dan bahwa tanda tangan itu dibentuk oleh peserta yang sama yang bertanggung jawab untuk versi sebelumnya.
Sigstore menyediakan layanan siap pakai dan seperangkat alat yang memungkinkan Anda menerapkan layanan serupa di komputer Anda. Layanan ini gratis untuk semua pengembang dan vendor perangkat lunak, dan diimplementasikan pada platform netral: Linux Foundation. Semua komponen layanan adalah open source, ditulis dalam bahasa Go, dan didistribusikan di bawah lisensi Apache 2.0.
Dari komponen yang sedang dikembangkan dapat diketahui:
- Rekor: implementasi registri untuk menyimpan metadata yang ditandatangani secara digital yang mencerminkan informasi tentang proyek. Untuk menjamin integritas dan perlindungan terhadap distorsi data, struktur pohon "Tree Merkle" digunakan secara retroaktif, di mana setiap cabang memverifikasi semua utas dan komponen yang mendasarinya, berkat fungsi hash.
- Fulcio (SigStore WebPKI) sistem untuk membuat otoritas sertifikasi (Root-CA) yang menerbitkan sertifikat berumur pendek berdasarkan email yang diautentikasi melalui OpenID Connect. Masa berlaku sertifikat adalah 20 menit, selama waktu tersebut pengembang harus memiliki waktu untuk membuat tanda tangan digital (jika di masa mendatang sertifikat jatuh ke tangan penyerang, masa berlakunya akan habis).
- Сosign (Container Signing) seperangkat alat untuk menghasilkan tanda tangan dalam wadah, verifikasi tanda tangan dan tempatkan kontainer yang ditandatangani di repositori yang sesuai dengan OCI (Open Container Initiative).
Terakhir, jika Anda tertarik untuk mengetahui lebih banyak tentang proyek ini, Anda dapat melihat detailnya Di tautan berikut.