Red HatとGoogleは、Purdue Universityとともに、最近Sigstoreプロジェクトの設立を発表しました。誰の 目的は、デジタル署名を使用してソフトウェアを検証するためのツールとサービスを作成することです 公開透明性レジストリを維持します。 このプロジェクトは、非営利団体であるLinuxFoundationの支援の下で開発されます。
提案されたプロジェクト ソフトウェア配布チャネルのセキュリティを強化し、標的型攻撃から保護します ソフトウェアコンポーネントと依存関係(サプライチェーン)を置き換える。 オープンソースソフトウェアの重要なセキュリティ上の懸念のXNUMXつは、プログラムのソースを検証し、ビルドプロセスを検証することの難しさです。
例えば バージョンの整合性を検証する, ほとんどのプロジェクトはハッシュを使用し、 しかし、認証に必要な情報は、保護されていないシステムや共有コードリポジトリに保存されることがよくあります。その結果、攻撃者は検証に必要なファイルを置き換えることができ、疑惑を抱かずに悪意のある変更を加えることができます。
キー管理が複雑なため、デジタル署名を使用してリリースを配布しているプロジェクトはごく少数です。 公開鍵の配布と侵害された鍵の取り消し。 検証を意味のあるものにするために、公開鍵とチェックサムを配布するための信頼できる安全なプロセスを編成する必要もあります。 デジタル署名を使用しても、検証プロセスを調査してどのキーが信頼されているかを理解するには時間がかかるため、多くのユーザーは検証を無視します。
Sigstoreについて
SigstoreはLet'sEncryptアナログとして宣伝されています コードの場合、pデジタルコード署名用の証明書と検証を自動化するツールを提供する。 Sigstoreを使用すると、開発者は、起動ファイル、コンテナイメージ、マニフェスト、実行可能ファイルなどのアプリケーション関連のアーティファクトにデジタル署名できます。 Sigstoreの特徴は、署名に使用された資料が変更から保護された公記録に反映され、検証と監査に使用できることです。
定数キーの代わりに、 Sigstoreは、短命のエフェメラルキーを使用します。 これらは、OpenID Connectプロバイダーによって確認された資格情報に基づいて生成されます(デジタル署名のキーが生成されるときに、開発者は電子メールリンクを使用してOpenIDプロバイダーを通じて識別されます)。 キーの信憑性は一元化された公記録と照合され、署名の作成者が正確に彼の主張する人物であり、署名が以前のバージョンを担当した同じ参加者によって形成されたことを確認できます。
Sigstoreは、すぐに使用できるサービスと、コンピューターに同様のサービスを実装できる一連のツールを提供します。 このサービスは、すべてのソフトウェア開発者とベンダーに無料で提供され、中立的なプラットフォームであるLinuxFoundationに実装されています。 サービスのすべてのコンポーネントはオープンソースであり、Go言語で記述されており、Apache2.0ライセンスの下で配布されています。
開発中のコンポーネントのうち、次の点に注意してください。
- Rekor:デジタル署名されたメタデータを保存するためのレジストリの実装 プロジェクトに関する情報を反映しています。 整合性とデータの歪みに対する保護を保証するために、「ツリーマークル」ツリー構造が遡及的に使用され、ハッシュ関数のおかげで、各ブランチがすべてのスレッドと基盤となるコンポーネントを検証します。
- Fulcio(SigStore WebPKI)認証局を作成するためのシステム (ルートCA)OpenIDConnectを介して認証された電子メールに基づいて短期間の証明書を発行します。 証明書の有効期間は20分です。その間、開発者はデジタル署名を生成する時間が必要です(将来、証明書が攻撃者の手に渡った場合、有効期限が切れます)。
- Сosign(コンテナ署名)コンテナ内で署名を生成するための一連のツール、署名を確認し、署名されたコンテナをOCI(Open Container Initiative)準拠のリポジトリに配置します。
最後に、このプロジェクトについて詳しく知りたい場合は、詳細を参照してください。 次のリンクで。