Red Hat un Google kopā ar Purdue universitāti nesen paziņoja par Sigstore projekta dibināšanu, kuru mērķis ir izveidot rīkus un pakalpojumus programmatūras pārbaudei, izmantojot digitālos parakstus uzturēt publisku pārredzamības reģistru. Projekts tiks izstrādāts bezpeļņas organizācijas Linux Foundation aizgādībā.
Ierosinātais projekts uzlabot programmatūras izplatīšanas kanālu drošību un aizsargāt pret mērķtiecīgiem uzbrukumiem aizstāt programmatūras komponentus un atkarības (piegādes ķēde). Viena no galvenajām atvērtā pirmkoda programmatūras drošības problēmām ir grūtības pārbaudīt programmas avotu un būvēšanas procesu.
Piemēram lai pārbaudītu versijas integritāti, lielākajā daļā projektu tiek izmantota hash, Bet bieži autentifikācijai nepieciešamā informācija tiek glabāta neaizsargātās sistēmās un koplietojamo kodu krātuvēs, kuru kompromisa rezultātā uzbrucēji var aizstāt verifikācijai nepieciešamos failus un neradot aizdomas, ieviest ļaunprātīgas izmaiņas.
Tikai neliela daļa projektu izmanto digitālos parakstus, lai izplatītu izlaidumus atslēgas vadības sarežģītības dēļ, publisko atslēgu izplatīšana un apdraudēto atslēgu atsaukšana. Lai verifikācijai būtu jēga, jums jāorganizē arī uzticams un drošs publisko atslēgu un kontrolsummu izplatīšanas process. Pat ar digitālo parakstu daudzi lietotāji ignorē verifikāciju, jo verifikācijas procesa izpētei un izpratnei par kuru uzticamo atslēgu nepieciešams laiks.
Par Sigstore
Sigstore tiek reklamēta kā Let's Encrypt analog kodu, lppdigitālo kodu parakstīšanas sertifikātu un verifikācijas automatizācijas rīku nodrošināšana. Izmantojot Sigstore, izstrādātāji var digitāli parakstīt ar lietojumprogrammām saistītus artefaktus, piemēram, palaišanas failus, konteinera attēlus, manifestus un izpildāmos failus. Sigstore iezīme ir tā, ka parakstīšanai izmantotais materiāls tiek atspoguļots publiskā reģistrā, kas pasargāts no izmaiņām, ko var izmantot pārbaudei un revīzijai.
Nemainīgu atslēgu vietā Sigstore izmanto īslaicīgas īslaicīgas atslēgas, Tie tiek ģenerēti, pamatojoties uz akreditācijas datiem, kurus apstiprinājuši OpenID Connect nodrošinātāji (brīdī, kad tiek ģenerētas digitālā paraksta atslēgas, izstrādātājs tiek identificēts, izmantojot OpenID nodrošinātāju ar e-pasta saiti). Atslēgu autentiskums tiek pārbaudīts, ņemot vērā centralizēto publisko reģistru, ļaujot jums pārliecināties, ka paraksta autors ir tieši tāds, kāds viņš apgalvo, un parakstu ir izveidojis tas pats dalībnieks, kurš bija atbildīgs par iepriekšējām versijām.
Sigstore nodrošina lietošanai gatavu pakalpojumu un rīku komplektu, kas ļauj datorā ieviest līdzīgus pakalpojumus. Pakalpojums ir bezmaksas visiem programmatūras izstrādātājiem un pārdevējiem, un tas tiek ieviests uz neitrālas platformas: Linux Foundation. Visi pakalpojuma komponenti ir atvērtā koda, rakstīti Go valodā un tiek izplatīti ar Apache 2.0 licenci.
No komponentiem, kas tiek izstrādāti, var atzīmēt:
- Rekor: reģistra ieviešana digitāli parakstītu metadatu glabāšanai kas atspoguļo informāciju par projektiem. Lai garantētu integritāti un aizsardzību pret datu sagrozīšanu, koku "Tree Merkle" struktūra tiek izmantota ar atpakaļejošu spēku, kur katrs zars, pateicoties jaucējfunkcijai, pārbauda visus pavedienus un pamatā esošos komponentus.
- Fulcio (SigStore WebPKI) sertifikācijas iestāžu izveides sistēma (Root-CA), kas izsniedz īslaicīgus sertifikātus, pamatojoties uz autentificētiem e-pastiem, izmantojot OpenID Connect. Sertifikāta kalpošanas laiks ir 20 minūtes, šajā laikā izstrādātājam ir jābūt laikam, lai ģenerētu digitālo parakstu (ja nākotnē sertifikāts nonāks uzbrucēja rokās, tā derīguma termiņš beigsies).
- Сosign (Container Signing) rīku kopums, lai ģenerētu parakstus konteineros, pārbaudiet parakstus un ievietojiet parakstītos konteinerus OCI (Open Container Initiative) atbilstošās krātuvēs.
Visbeidzot, ja jūs interesē uzzināt vairāk par šo projektu, varat uzzināt sīkāku informāciju Šajā saitē.