„Red Hat“ ir „Google“ kartu su Purdue universitetu neseniai paskelbė apie „Sigstore“ projekto įkūrimą, kurio tikslas yra sukurti įrankius ir paslaugas programinei įrangai patikrinti naudojant skaitmeninius parašus ir tvarkyti viešą skaidrumo registrą. Projektas bus kuriamas globojant ne pelno organizacijai „Linux Foundation“.
Siūlomas projektas sustiprinti programinės įrangos platinimo kanalų saugumą ir apsisaugoti nuo tikslinių atakų pakeisti programinės įrangos komponentus ir priklausomybes (tiekimo grandinė). Viena iš pagrindinių atvirojo kodo programinės įrangos saugumo problemų yra sunku patikrinti programos šaltinį ir patikrinti sukūrimo procesą.
Pavyzdžiui, patikrinti versijos vientisumą, daugumoje projektų naudojama maiša, Tačiau dažnai autentifikavimui reikalinga informacija yra saugoma neapsaugotose sistemose ir bendrose kodų saugyklose, dėl kurių kompromiso užpuolikai gali pakeisti patikrai reikalingus failus ir nesukeldami įtarimų, gali sukelti kenkėjiškų pakeitimų.
Tik mažuma projektų naudoja skaitmeninius parašus leidimams platinti dėl raktų valdymo sudėtingumo, viešųjų raktų platinimas ir pažeistų raktų atšaukimas. Kad patikrinimas būtų prasmingas, taip pat turite organizuoti patikimą ir saugų viešųjų raktų ir kontrolinių sumų platinimo procesą. Net ir turėdami skaitmeninį parašą, daugelis vartotojų nepaiso patvirtinimo, nes reikia laiko ištirti patvirtinimo procesą ir suprasti, kuris raktas yra patikimas.
Apie „Sigstore“
„Sigstore“ reklamuojamas kaip „Let's Encrypt“ analogas kodui, pskaitmeninio kodo pasirašymo sertifikatų ir tikrinimo automatizavimo priemonių teikimas. Naudodamiesi „Sigstore“, kūrėjai gali skaitmeniniu būdu pasirašyti su programa susijusius artefaktus, tokius kaip paleidimo failai, konteinerio vaizdai, manifestai ir vykdomieji failai. „Sigstore“ ypatybė yra ta, kad pasirašymui naudojama medžiaga atsispindi viešame įraše, apsaugotame nuo pokyčių, kurį galima naudoti patikrai ir auditui atlikti.
Vietoj pastovių raktų, „Sigstore“ naudoja trumpalaikius trumpalaikius raktus, Jie generuojami remiantis „OpenID Connect“ teikėjų patvirtintais duomenimis (tuo metu, kai generuojami skaitmeninio parašo raktai, kūrėjas identifikuojamas per „OpenID“ teikėją su el. Pašto nuoroda). Raktų tikrumas tikrinamas pagal centralizuotą viešą įrašą, leidžiantį įsitikinti, kad parašo autorius yra tas pats, kuo jis teigia esąs, ir kad parašą suformavo tas pats dalyvis, kuris buvo atsakingas už ankstesnes versijas.
„Sigstore“ teikia paruoštą naudoti paslaugą ir įrankių rinkinį, leidžiantį įdiegti panašias paslaugas savo kompiuteryje. Paslauga yra nemokama visiems programinės įrangos kūrėjams ir pardavėjams, ji įgyvendinama neutralioje platformoje: „Linux Foundation“. Visi paslaugos komponentai yra atvirojo kodo, parašyti „Go“ kalba ir platinami pagal „Apache 2.0“ licenciją.
Iš kuriamų komponentų galima pažymėti:
- „Rekor“: registro, kuriame saugomi skaitmeniškai pasirašyti metaduomenys, diegimas atspindinčią informaciją apie projektus. Siekiant užtikrinti vientisumą ir apsaugą nuo duomenų iškraipymo, medžio „Tree Merkle“ struktūra naudojama atgaline data, kai kiekviena šaka tikrina visas gijas ir pagrindinius komponentus, naudodama maišos funkciją.
- „Fulcio“ („SigStore WebPKI“) sertifikavimo institucijų kūrimo sistema (Root-CA), išduodantys trumpalaikius sertifikatus, pagrįstus patvirtintais el. Laiškais per „OpenID Connect“. Sertifikato galiojimo laikas yra 20 minučių, per kurį kūrėjas turi laiko sugeneruoti skaitmeninį parašą (jei ateityje sertifikatas pateks į užpuoliko rankas, jo galiojimo laikas baigsis).
- „Сosign“ („Container Signing“) įrankių rinkinys, skirtas generuoti parašus konteineriuose, patikrinkite parašus ir įdėkite pasirašytus konteinerius į OCI („Open Container Initiative“) reikalavimus atitinkančias saugyklas.
Galiausiai, jei norite sužinoti daugiau apie šį projektą, galite sužinoti išsamią informaciją Šioje nuorodoje.