Red Hat과 Google은 Purdue University와 함께 최근 Sigstore 프로젝트의 설립을 발표했습니다.누구의 목표는 디지털 서명을 사용하여 소프트웨어를 확인하는 도구와 서비스를 만드는 것입니다. 공공 투명성 레지스트리를 유지합니다. 이 프로젝트는 비영리 단체 인 Linux Foundation의 후원으로 개발 될 것입니다.
제안 된 프로젝트 소프트웨어 배포 채널의 보안을 강화하고 표적 공격으로부터 보호 소프트웨어 구성 요소 및 종속성 (공급망)을 교체합니다. 오픈 소스 소프트웨어의 주요 보안 문제 중 하나는 프로그램의 소스를 확인하고 빌드 프로세스를 확인하는 것이 어렵다는 것입니다.
예 버전의 무결성을 확인하려면, 대부분의 프로젝트는 해시를 사용합니다. 그러나 종종 인증에 필요한 정보는 보호되지 않은 시스템과 공유 코드 저장소에 저장되며, 그 결과 공격자가 확인에 필요한 파일을 의심하지 않고 악의적 인 변경을 도입 할 수 있습니다.
키 관리의 복잡성으로 인해 소수의 프로젝트 만이 디지털 서명을 사용하여 릴리스를 배포합니다. 공개 키의 배포 및 손상된 키의 취소. 검증이 의미가 있으려면 공개 키 및 체크섬을 배포하기위한 안정적이고 안전한 프로세스도 구성해야합니다. 디지털 서명을 사용하더라도 많은 사용자는 확인 프로세스를 연구하고 어떤 키가 신뢰할 수 있는지 이해하는 데 시간이 걸리므로 확인을 무시합니다.
Sigstore 정보
Sigstore는 Let 's Encrypt 아날로그로 홍보됩니다. 코드, p디지털 코드 서명을위한 인증서 및 검증 자동화 도구 제공. 개발자는 Sigstore를 사용하여 시작 파일, 컨테이너 이미지, 매니페스트 및 실행 파일과 같은 애플리케이션 관련 아티팩트에 디지털 서명 할 수 있습니다. Sigstore의 특징은 서명에 사용 된 자료가 변경으로부터 보호되는 공개 기록에 반영되어 검증 및 감사에 사용할 수 있다는 것입니다.
상수 키 대신 Sigstore는 수명이 짧은 임시 키를 사용합니다. OpenID Connect 공급자가 확인한 자격 증명을 기반으로 생성됩니다 (디지털 서명에 대한 키가 생성 될 때 개발자는 이메일 링크가있는 OpenID 공급자를 통해 식별 됨). 키의 진위 여부는 중앙 집중식 공개 기록에 대해 확인되므로 서명의 작성자가 정확히 자신이 주장하는 사람이고 서명이 이전 버전을 담당했던 동일한 참여자에 의해 형성되었는지 확인할 수 있습니다.
Sigstore는 즉시 사용 가능한 서비스와 컴퓨터에서 유사한 서비스를 구현할 수있는 도구 세트를 제공합니다. 이 서비스는 모든 소프트웨어 개발자 및 공급 업체에게 무료로 제공되며 중립 플랫폼 인 Linux Foundation에서 구현됩니다. 서비스의 모든 구성 요소는 오픈 소스이며 Go 언어로 작성되었으며 Apache 2.0 라이선스에 따라 배포됩니다.
개발중인 구성 요소 중 다음과 같이 확인할 수 있습니다.
- Rekor : 디지털 서명 된 메타 데이터를 저장하기위한 레지스트리 구현 프로젝트에 대한 정보를 반영합니다. 데이터 왜곡에 대한 무결성과 보호를 보장하기 위해 "Tree Merkle"트리 구조가 소급 적으로 사용됩니다. 여기서 각 분기는 해시 함수 덕분에 모든 스레드와 기본 구성 요소를 확인합니다.
- Fulcio (SigStore WebPKI) 인증 기관 생성 시스템 (Root-CA) OpenID Connect를 통해 인증 된 이메일을 기반으로 수명이 짧은 인증서를 발급합니다. 인증서의 수명은 20 분이며 그 동안 개발자는 디지털 서명을 생성 할 시간이 있어야합니다 (앞으로 인증서가 공격자의 손에 넘어 가면 만료 됨).
- Сosign (컨테이너 서명) : 컨테이너에서 서명을 생성하는 도구 세트, 서명을 확인하고 서명 된 컨테이너를 OCI (Open Container Initiative) 호환 리포지토리에 배치합니다.
마지막으로,이 프로젝트에 대해 더 알고 싶다면 세부 사항을 참조하십시오. 다음 링크에서.