Sigstore、暗号検証システムはすでに安定しています

Darkcrizt

4分

シグストア

Sigstore はコードの Let's Encrypt と考えることができ、コードにデジタル署名する証明書と検証を自動化するツールを提供します。

Googleが発表 ブログ投稿を通じて、 の最初の安定バージョンの形成 プロジェクトを構成するコンポーネント シグストア、 これは、実用的なデプロイメントの作成に適していると宣言されています。

Sigstore を知らない人は、これがプロジェクトであることを知っておく必要があります。 ソフトウェアの検証のためのツールとサービスを開発および提供することを目的としています デジタル署名を使用し、変更の真正性を確認する公開レジストリ (透明性レジストリ) を維持します。

シグストアでは、 開発者はデジタル署名できます リリース ファイル、コンテナー イメージ、マニフェスト、実行可能ファイルなどのアプリケーション関連のアーティファクト。 に使われている素材 署名は、改ざん防止の公的記録に反映されます これは、検証と監査に使用できます。

永久キーの代わりに、Sigstore は短命の一時キーを使用します OpenID Connect プロバイダーによって検証された資格情報に基づいて生成されます (デジタル署名の作成に必要なキーの生成時に、電子メール リンクを使用して OpenID プロバイダーを通じて開発者が識別されます)。

キーの信頼性は、中央の公開レジストリによって検証されます。 これにより、署名の作成者が正確に本人であること、および署名が以前のバージョンを担当した同じ参加者によって作成されたことを確認できます。

シグストアの準備 実装のために に起因するものです XNUMX つの主要コンポーネントのバージョン管理: Rekor 1.0 と Fulcio 1.0、そのプログラミング インターフェイスは安定していると宣言されており、今後は以前のバージョンとの互換性を維持します。 サービスのコンポーネントは Go で記述され、Apache 2.0 ライセンスの下でリリースされます。

コンポーネント Rekor には、デジタル署名されたメタデータを保存するためのレジストリ実装が含まれています プロジェクトに関する情報を反映します。 整合性とデータ破損に対する保護を確保するために、各ブランチが結合ハッシュ (ツリー) を介してすべての基礎となるブランチとノードを検証するマークル ツリー構造が使用されます。 最終的なハッシュを取得することで、ユーザーは操作履歴全体の正確性と、データベースの過去の状態の正確性を検証できます (データベースの新しい状態のルート チェック ハッシュは、過去の状態を考慮して計算されます)。 新しいレコードをチェックして追加するための RESTful API と、コマンド ライン インターフェイスが提供されます。

コンポーネント フルシウス (SigStore WebPKI) には、認証局を作成するためのシステムが含まれています (ルート CA) は、OpenID Connect を介して認証された電子メールに基づいて有効期間の短い証明書を発行します。 証明書の有効期間は 20 分で、その間に開発者はデジタル署名を生成する時間が必要です (証明書が将来攻撃者の手に渡った場合、証明書は既に期限切れになっています)。 また、 プロジェクトはCosignツールキットを開発します (Container Signing) は、コンテナの署名を生成し、署名を検証し、署名されたコンテナを OCI (Open Container Initiative) 準拠のリポジトリに配置するように設計されています。

の導入 Sigstore により、ソフトウェア配布チャネルのセキュリティを強化できます ライブラリと依存関係の置換 (サプライ チェーン) を標的とする攻撃から保護します。 オープン ソース ソフトウェアの重要なセキュリティ問題の XNUMX つは、プログラムのソースの検証とビルド プロセスの検証が難しいことです。

バージョン検証のためのデジタル署名の使用はまだ普及していません 鍵の管理、公開鍵の配布、侵害された鍵の取り消しが困難なためです。 検証を意味のあるものにするためには、公開鍵とチェックサムを配布するための信頼できる安全なプロセスを組織することも必要です。 デジタル署名を使用しても、多くのユーザーは検証プロセスを学習し、どのキーが信頼されているかを理解するには時間がかかるため、検証を無視します。

このプロジェクトは、Google、Red Hat、Cisco、vmWare、GitHub、および HP Enterprise の非営利団体 Linux Foundation の後援の下、OpenSSF (Open Source Security Foundation) および Purdue University が参加して開発されています。

最後に、あなたがそれについてもっと知ることができることに興味があるなら、あなたは詳細を調べることができます 次のリンク。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。