Sigstore, perkhidmatan pengesahan kod kriptografi dari Red Hat dan Google

Darkcrizt

Minit 4

Red Hat dan Google, bersama dengan Universiti Purdue baru-baru ini mengumumkan penubuhan projek Sigstore, yang objektifnya adalah untuk membuat alat dan perkhidmatan untuk mengesahkan perisian menggunakan tandatangan digital dan mengekalkan pendaftaran ketelusan awam. Projek ini akan dibangunkan di bawah naungan Linux Foundation, sebuah organisasi bukan keuntungan.

Projek yang dicadangkan meningkatkan keselamatan saluran pengedaran perisian dan melindungi daripada serangan yang disasarkan untuk menggantikan komponen dan kebergantungan perisian (rantaian bekalan). Salah satu masalah keselamatan utama dalam perisian sumber terbuka adalah kesukaran untuk mengesahkan sumber program dan mengesahkan proses pembinaan.

Contohnya untuk mengesahkan integriti versi, kebanyakan projek menggunakan hash, Tetapi selalunya maklumat yang diperlukan untuk pengesahan disimpan dalam sistem yang tidak dilindungi dan di repositori kod bersama, sebagai akibat kompromi yang mana penyerang dapat mengganti fail yang diperlukan untuk pengesahan dan tanpa menimbulkan kecurigaan, memperkenalkan perubahan berbahaya.

Hanya sebilangan kecil projek yang menggunakan tandatangan digital untuk mengedarkan siaran kerana kerumitan pengurusan utama, pengagihan kunci awam dan pembatalan kunci yang dikompromikan. Agar pengesahan masuk akal, anda juga perlu mengatur proses yang boleh dipercayai dan selamat untuk mengedarkan kunci dan cek awam. Walaupun dengan tandatangan digital, banyak pengguna mengabaikan pengesahan kerana memerlukan masa untuk mempelajari proses pengesahan dan memahami kunci mana yang dipercayai.

Mengenai Sigstore

Sigstore dipromosikan sebagai analog Let's Encrypt untuk kod, hlmmenyediakan sijil untuk menandatangani kod digital dan alat untuk pengesahan automatik. Dengan Sigstore, pembangun dapat menandatangani artifak yang berkaitan dengan aplikasi secara digital seperti fail pelancaran, gambar bekas, manifes, dan yang dapat dilaksanakan. Ciri Sigstore adalah bahawa bahan yang digunakan untuk menandatangani tercermin dalam catatan umum yang dilindungi dari perubahan, yang dapat digunakan untuk pengesahan dan pengauditan.

Daripada kekunci berterusan, Sigstore menggunakan kunci masa pendek, Mereka dihasilkan berdasarkan bukti kelayakan yang disahkan oleh pembekal OpenID Connect (pada masa kunci tandatangan digital dihasilkan, pembangun dikenal pasti melalui penyedia OpenID dengan pautan e-mel). Keaslian kunci diperiksa berdasarkan rekod awam terpusat, yang membolehkan anda memastikan bahawa pengarang tandatangan adalah siapa dia sebenarnya dan tandatangan itu dibentuk oleh peserta yang sama yang bertanggungjawab untuk versi sebelumnya.

Sigstore menyediakan perkhidmatan yang siap digunakan dan sekumpulan alat yang membolehkan anda melaksanakan perkhidmatan serupa di komputer anda. Perkhidmatan ini percuma untuk semua pembangun dan vendor perisian, dan dilaksanakan pada platform neutral: Linux Foundation. Semua komponen perkhidmatan adalah sumber terbuka, ditulis dalam bahasa Go, dan diedarkan di bawah lesen Apache 2.0.

Dari komponen yang sedang dikembangkan, dapat diperhatikan:

  • Rekor: pelaksanaan pendaftaran untuk menyimpan metadata yang ditandatangani secara digital yang menggambarkan maklumat mengenai projek. Untuk menjamin integriti dan perlindungan terhadap penyimpangan data, struktur pohon "Tree Merkle" digunakan secara retroaktif, di mana setiap cabang mengesahkan semua utas dan komponen yang mendasari, berkat fungsi hash.
  • Fulcio (SigStore WebPKI) sistem untuk mewujudkan pihak berkuasa perakuan (Root-CA) yang mengeluarkan sijil jangka pendek berdasarkan e-mel yang disahkan melalui OpenID Connect. Jangka hayat sijil adalah 20 minit, di mana pembangun mesti mempunyai masa untuk menghasilkan tandatangan digital (jika pada masa akan datang sijil jatuh ke tangan penyerang, kadaluarsa akan habis).
  • Ignosign (Container Signing) satu set alat untuk menghasilkan tandatangan dalam bekas, sahkan tandatangan dan letakkan bekas yang ditandatangani di repositori yang mematuhi OCI (Open Container Initiative).

Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenai projek ini, anda boleh melihat butirannya Dalam pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.