Red Hat e Google, insieme alla Purdue University, hanno recentemente annunciato la fondazione del progetto SigstoreLa cui l'obiettivo è creare strumenti e servizi per verificare il software utilizzando le firme digitali e mantenere un registro pubblico per la trasparenza. Il progetto sarà sviluppato sotto gli auspici della Linux Foundation, un'organizzazione senza scopo di lucro.
Il progetto proposto migliorare la sicurezza dei canali di distribuzione del software e proteggere da attacchi mirati sostituire i componenti e le dipendenze del software (supply chain). Uno dei principali problemi di sicurezza nel software open source è la difficoltà di verificare l'origine del programma e di verificare il processo di compilazione.
Ad esempio, per verificare l'integrità di una versione, la maggior parte dei progetti utilizza hash, Ma spesso le informazioni necessarie per l'autenticazione sono archiviate in sistemi non protetti e in archivi di codice condivisi, a seguito della compromissione di cui gli aggressori possono sostituire i file necessari per la verifica e senza destare sospetti, introdurre modifiche dannose.
Solo una minoranza dei progetti utilizza le firme digitali per distribuire i rilasci a causa delle complessità della gestione delle chiavi, la distribuzione delle chiavi pubbliche e la revoca delle chiavi compromesse. Affinché la verifica abbia senso, è inoltre necessario organizzare un processo affidabile e sicuro per la distribuzione di chiavi pubbliche e checksum. Anche con una firma digitale, molti utenti ignorano la verifica poiché richiede tempo per studiare il processo di verifica e capire quale chiave è attendibile.
A proposito di Sigstore
Sigstore è promosso come analogo di Let's Encrypt per il codice, pfornitura di certificati per la firma digitale del codice e strumenti per automatizzare la verifica. Con Sigstore, gli sviluppatori possono firmare digitalmente artefatti relativi alle applicazioni come file di avvio, immagini di contenitori, manifesti ed eseguibili. Una caratteristica di Sigstore è che il materiale utilizzato per la firma si riflette in un record pubblico protetto da modifiche, che può essere utilizzato per la verifica e l'audit.
Invece di chiavi costanti, Sigstore utilizza chiavi temporanee di breve durata, Vengono generati in base alle credenziali confermate dai provider OpenID Connect (nel momento in cui vengono generate le chiavi per la firma digitale, lo sviluppatore viene identificato tramite il provider OpenID con un link di posta elettronica). L'autenticità delle chiavi viene verificata rispetto al registro pubblico centralizzato, consentendo di garantire che l'autore della firma sia esattamente chi afferma di essere e che la firma sia stata formata dallo stesso partecipante responsabile delle versioni precedenti.
Sigstore fornisce un servizio pronto all'uso e una serie di strumenti che ti consentono di implementare servizi simili sul tuo computer. Il servizio è gratuito per tutti gli sviluppatori e fornitori di software ed è implementato su una piattaforma neutrale: la Linux Foundation. Tutti i componenti del servizio sono open source, scritti in linguaggio Go e sono distribuiti con licenza Apache 2.0.
Tra i componenti che si stanno sviluppando, si può notare:
- Rekor: un'implementazione di un registro per archiviare metadati con firma digitale che riflettono le informazioni sui progetti. Per garantire integrità e protezione contro la distorsione dei dati, la struttura ad albero "Tree Merkle" viene utilizzata retroattivamente, dove ogni ramo verifica tutti i thread e i componenti sottostanti, grazie ad una funzione hash.
- Fulcio (SigStore WebPKI) un sistema per la creazione di enti di certificazione (Root-CA) che emettono certificati di breve durata basati su e-mail autenticate tramite OpenID Connect. La durata del certificato è di 20 minuti, durante i quali lo sviluppatore deve avere il tempo di generare una firma digitale (se in futuro il certificato cade nelle mani di un malintenzionato, scadrà).
- Сosign (Container Signing) un set di strumenti per generare firme nei contenitori, verifica le firme e posiziona i contenitori firmati in archivi conformi a OCI (Open Container Initiative).
Infine, se sei interessato a saperne di più su questo progetto, puoi consultare i dettagli nel seguente link