Sigstore, een service voor het verifiëren van cryptografische codes van Red Hat en Google

Darkcrizt

4 minuten

Red Hat en Google hebben onlangs samen met Purdue University de oprichting van het Sigstore-project aangekondigdWiens doel is om tools en services te creëren om software te verifiëren met behulp van digitale handtekeningen en een openbaar transparantieregister bijhouden. Het project zal worden ontwikkeld onder auspiciën van de Linux Foundation, een non-profitorganisatie.

Het voorgestelde project de beveiliging van softwaredistributiekanalen verbeteren en beschermen tegen gerichte aanvallen om softwarecomponenten en afhankelijkheden te vervangen (supply chain). Een van de belangrijkste beveiligingsproblemen bij open source-software is de moeilijkheid om de bron van het programma te verifiëren en het buildproces te verifiëren.

Bv om de integriteit van een versie te verifiëren, de meeste projecten gebruiken hash, Maar vaak wordt de informatie die nodig is voor authenticatie opgeslagen in onbeschermde systemen en in gedeelde coderepositories, waardoor aanvallers de bestanden die nodig zijn voor verificatie kunnen vervangen en zonder argwaan te wekken, kwaadwillende wijzigingen kunnen aanbrengen.

Slechts een minderheid van de projecten gebruikt digitale handtekeningen om releases te distribueren vanwege de complexiteit van sleutelbeheer, de distributie van openbare sleutels en het intrekken van gecompromitteerde sleutels. Om verificatie zinvol te laten zijn, moet u ook een betrouwbaar en veilig proces organiseren voor het distribueren van openbare sleutels en checksums. Zelfs met een digitale handtekening negeren veel gebruikers verificatie, omdat het tijd kost om het verificatieproces te bestuderen en te begrijpen welke sleutel vertrouwd is.

Over Sigstore

Sigstore wordt gepromoot als een Let's Encrypt-analoog voor de code, phet verstrekken van certificaten voor het ondertekenen van digitale codes en tools om verificatie te automatiseren​ Met Sigstore kunnen ontwikkelaars toepassingsgerelateerde artefacten digitaal ondertekenen, zoals startbestanden, containerafbeeldingen, manifesten en uitvoerbare bestanden. Een kenmerk van Sigstore is dat het materiaal dat voor ondertekening wordt gebruikt, wordt weerspiegeld in een openbaar bestand dat is beschermd tegen wijzigingen en dat kan worden gebruikt voor verificatie en audits.

In plaats van constante sleutels, Sigstore gebruikt kortstondige kortstondige sleutels, Ze worden gegenereerd op basis van de inloggegevens die zijn bevestigd door de OpenID Connect-providers (op het moment dat de sleutels voor de digitale handtekening worden gegenereerd, wordt de ontwikkelaar geïdentificeerd via de OpenID-provider met een e-maillink). De authenticiteit van de sleutels wordt vergeleken met het gecentraliseerde openbare record, zodat u zeker weet dat de auteur van de handtekening precies is wie hij beweert te zijn en dat de handtekening is gevormd door dezelfde deelnemer die verantwoordelijk was voor eerdere versies.

Sigstore biedt een kant-en-klare service en een set tools waarmee u soortgelijke services op uw computer kunt implementeren. De service is gratis voor alle softwareontwikkelaars en -leveranciers en wordt geïmplementeerd op een neutraal platform: de Linux Foundation. Alle componenten van de service zijn open source, geschreven in de Go-taal en worden gedistribueerd onder de Apache 2.0-licentie.

Van de componenten die worden ontwikkeld, kan worden opgemerkt:

  • Rekor: een implementatie van een register om digitaal ondertekende metadata op te slaan die informatie over projecten weergeven. Om integriteit en bescherming tegen gegevensvervorming te garanderen, wordt de boomstructuur "Tree Merkle" met terugwerkende kracht gebruikt, waarbij elke tak alle threads en onderliggende componenten verifieert, dankzij een hash-functie.
  • Fulcio (SigStore WebPKI) een systeem voor het creëren van certificeringsinstanties (Root-CA) die kortstondige certificaten uitgeven op basis van geverifieerde e-mails via OpenID Connect. De levensduur van het certificaat is 20 minuten, waarin de ontwikkelaar tijd moet hebben om een ​​digitale handtekening te genereren (als het certificaat in de toekomst in handen van een aanvaller valt, vervalt het).
  • Сosign (Container Signing) een set tools om handtekeningen in containers te genereren, verifieer handtekeningen en plaats ondertekende containers in OCI-compatibele opslagplaatsen (Open Container Initiative).

Als u tenslotte meer wilt weten over dit project, kunt u de details raadplegen In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.