Red Hat dan Google, bersama dengan Universiti Purdue baru-baru ini mengumumkan penubuhan projek Sigstore, yang objektifnya adalah untuk membuat alat dan perkhidmatan untuk mengesahkan perisian menggunakan tandatangan digital dan mengekalkan pendaftaran ketelusan awam. Projek ini akan dibangunkan di bawah naungan Linux Foundation, sebuah organisasi bukan keuntungan.
Projek yang dicadangkan meningkatkan keselamatan saluran pengedaran perisian dan melindungi daripada serangan yang disasarkan untuk menggantikan komponen dan kebergantungan perisian (rantaian bekalan). Salah satu masalah keselamatan utama dalam perisian sumber terbuka adalah kesukaran untuk mengesahkan sumber program dan mengesahkan proses pembinaan.
Contohnya untuk mengesahkan integriti versi, kebanyakan projek menggunakan hash, Tetapi selalunya maklumat yang diperlukan untuk pengesahan disimpan dalam sistem yang tidak dilindungi dan di repositori kod bersama, sebagai akibat kompromi yang mana penyerang dapat mengganti fail yang diperlukan untuk pengesahan dan tanpa menimbulkan kecurigaan, memperkenalkan perubahan berbahaya.
Hanya sebilangan kecil projek yang menggunakan tandatangan digital untuk mengedarkan siaran kerana kerumitan pengurusan utama, pengagihan kunci awam dan pembatalan kunci yang dikompromikan. Agar pengesahan masuk akal, anda juga perlu mengatur proses yang boleh dipercayai dan selamat untuk mengedarkan kunci dan cek awam. Walaupun dengan tandatangan digital, banyak pengguna mengabaikan pengesahan kerana memerlukan masa untuk mempelajari proses pengesahan dan memahami kunci mana yang dipercayai.
Mengenai Sigstore
Sigstore dipromosikan sebagai analog Let's Encrypt untuk kod, hlmmenyediakan sijil untuk menandatangani kod digital dan alat untuk pengesahan automatik. Dengan Sigstore, pembangun dapat menandatangani artifak yang berkaitan dengan aplikasi secara digital seperti fail pelancaran, gambar bekas, manifes, dan yang dapat dilaksanakan. Ciri Sigstore adalah bahawa bahan yang digunakan untuk menandatangani tercermin dalam catatan umum yang dilindungi dari perubahan, yang dapat digunakan untuk pengesahan dan pengauditan.
Daripada kekunci berterusan, Sigstore menggunakan kunci masa pendek, Mereka dihasilkan berdasarkan bukti kelayakan yang disahkan oleh pembekal OpenID Connect (pada masa kunci tandatangan digital dihasilkan, pembangun dikenal pasti melalui penyedia OpenID dengan pautan e-mel). Keaslian kunci diperiksa berdasarkan rekod awam terpusat, yang membolehkan anda memastikan bahawa pengarang tandatangan adalah siapa dia sebenarnya dan tandatangan itu dibentuk oleh peserta yang sama yang bertanggungjawab untuk versi sebelumnya.
Sigstore menyediakan perkhidmatan yang siap digunakan dan sekumpulan alat yang membolehkan anda melaksanakan perkhidmatan serupa di komputer anda. Perkhidmatan ini percuma untuk semua pembangun dan vendor perisian, dan dilaksanakan pada platform neutral: Linux Foundation. Semua komponen perkhidmatan adalah sumber terbuka, ditulis dalam bahasa Go, dan diedarkan di bawah lesen Apache 2.0.
Dari komponen yang sedang dikembangkan, dapat diperhatikan:
- Rekor: pelaksanaan pendaftaran untuk menyimpan metadata yang ditandatangani secara digital yang menggambarkan maklumat mengenai projek. Untuk menjamin integriti dan perlindungan terhadap penyimpangan data, struktur pohon "Tree Merkle" digunakan secara retroaktif, di mana setiap cabang mengesahkan semua utas dan komponen yang mendasari, berkat fungsi hash.
- Fulcio (SigStore WebPKI) sistem untuk mewujudkan pihak berkuasa perakuan (Root-CA) yang mengeluarkan sijil jangka pendek berdasarkan e-mel yang disahkan melalui OpenID Connect. Jangka hayat sijil adalah 20 minit, di mana pembangun mesti mempunyai masa untuk menghasilkan tandatangan digital (jika pada masa akan datang sijil jatuh ke tangan penyerang, kadaluarsa akan habis).
- Ignosign (Container Signing) satu set alat untuk menghasilkan tandatangan dalam bekas, sahkan tandatangan dan letakkan bekas yang ditandatangani di repositori yang mematuhi OCI (Open Container Initiative).
Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenai projek ini, anda boleh melihat butirannya Dalam pautan berikut.