רד האט וגוגל, יחד עם אוניברסיטת פרדו הודיעו לאחרונה על הקמת פרויקט זיגסטור, של מי המטרה היא ליצור כלים ושירותים לאימות תוכנה באמצעות חתימות דיגיטליות ולנהל רישום שקיפות ציבורי. הפרויקט יפותח בחסות קרן לינוקס, ארגון ללא מטרות רווח.
הפרויקט המוצע לשפר את האבטחה של ערוצי הפצת תוכנה ולהגן מפני התקפות ממוקדות להחליף רכיבי תוכנה ותלות (שרשרת אספקה). אחד החששות העיקריים באבטחה בתוכנת קוד פתוח הוא הקושי לאמת את מקור התוכנית ולאמת את תהליך הבנייה.
לדוגמה: כדי לאמת את תקינות הגרסה, רוב הפרויקטים משתמשים בחשיש, אך לעיתים קרובות המידע הנדרש לאימות נשמר במערכות לא מוגנות ובמאגרי קוד משותף, כתוצאה מהפשרה שבה התוקפים יכולים להחליף את הקבצים הדרושים לאימות ומבלי לעורר חשד, להכניס שינויים זדוניים.
רק מיעוט מהפרויקטים משתמשים בחתימות דיגיטליות להפצת מהדורות בגלל מורכבות ניהול המפתח, חלוקת מפתחות ציבוריים וביטול מפתחות שנפגעו. כדי שהאימות יהיה הגיוני, עליכם לארגן גם תהליך אמין ומאובטח להפצת מפתחות ציבוריים וסכומי בדיקה. גם עם חתימה דיגיטלית, משתמשים רבים מתעלמים מאימות מכיוון שלוקח זמן ללמוד את תהליך האימות ולהבין איזה מפתח אמין.
על זיגסטור
זיגסטור מקודמת כאנלוגית Let's Encrypt עבור הקוד, עמ 'מתן אישורים לחתימת קוד דיגיטלי וכלים לאימות אוטומטי. בעזרת Sigstore, מפתחים יכולים לחתום דיגיטלית על חפצים הקשורים ליישומים כגון קבצי הפעלה, תמונות מיכל, מניפסטים והפעלה. מאפיין של Sigstore הוא שהחומר המשמש לחתימה משתקף ברשומה ציבורית המוגנת מפני שינויים, שיכולה לשמש לאימות וביקורת.
במקום מקשים קבועים, זיגסטור משתמשת במקשים זמניים קצרי מועד, הם נוצרים על סמך האישורים שאושרו על ידי ספקי OpenID Connect (בזמן שנוצר המפתחות לחתימה הדיגיטלית, המפתח מזוהה באמצעות ספק OpenID עם קישור דוא"ל). האותנטיות של המפתחות נבדקת מול הרשומה הציבורית המרכזית, ומאפשרת לך לוודא שמחבר החתימה הוא בדיוק מי שהוא טוען שהוא וכי החתימה הוקמה על ידי אותו משתתף שהיה אחראי על הגרסאות הקודמות.
Sigstore מספקת שירות מוכן לשימוש ומערכת כלים המאפשרים לך להטמיע שירותים דומים במחשב שלך. השירות הוא בחינם לכל מפתחי התוכנה והספקים, והוא מיושם בפלטפורמה ניטראלית: קרן לינוקס. כל רכיבי השירות הם קוד פתוח, כתובים בשפת Go ומופצים ברישיון Apache 2.0.
מבין הרכיבים המפותחים, ניתן לציין:
- Rekor: יישום של רישום לאחסון מטא נתונים חתומים דיגיטלית המשקפים מידע על פרויקטים. כדי להבטיח שלמות והגנה מפני עיוות נתונים, משתמשים במבנה העץ "עץ מרקל" באופן רטרואקטיבי, כאשר כל ענף מאמת את כל השרשור והרכיבים הבסיסיים, הודות לפונקציית חשיש.
- Fulcio (SigStore WebPKI) מערכת ליצירת רשויות הסמכה (Root-CA) המנפיקים אישורים קצרי מועד המבוססים על אימיילים מאומתים באמצעות OpenID Connect. אורך החיים של האישור הוא 20 דקות, במהלכן על המפתח להספיק ליצור חתימה דיגיטלית (אם בעתיד האישור ייפול לידיו של תוקף, הוא יפוג).
- Сosign (Container Signing) סט כלים לייצור חתימות במכולות, אמת חתימות והצבת מכולות חתומות במאגרים תואמי OCI (Open Container Initiative).
לבסוף, אם אתם מעוניינים לדעת יותר על פרויקט זה, תוכלו להתייעץ עם הפרטים בקישור הבא.