Red Hat og Google, sammen med Purdue University, kunngjorde nylig grunnleggelsen av Sigstore-prosjektet, som Målet er å lage verktøy og tjenester for å verifisere programvare ved hjelp av digitale signaturer og opprettholde et offentlig åpenhetsregister. Prosjektet vil bli utviklet i regi av Linux Foundation, en ideell organisasjon.
Det foreslåtte prosjektet forbedre sikkerheten til programvaredistribusjonskanaler og beskytte mot målrettede angrep å erstatte programvarekomponenter og avhengigheter (forsyningskjede). En av de viktigste sikkerhetsproblemene i programvare med åpen kildekode er vanskeligheten med å verifisere kilden til programmet og verifisere byggeprosessen.
Eg for å verifisere integriteten til en versjon, de fleste prosjekter bruker hasj, Men ofte lagres informasjonen som kreves for autentisering i ubeskyttede systemer og i delte kodebaserer, som et resultat av kompromisset som angripere kan erstatte filene som er nødvendige for verifisering og uten å vekke mistanke, innføre ondsinnede endringer.
Bare et mindretall av prosjektene bruker digitale signaturer for å distribuere utgivelser på grunn av kompleksiteten i nøkkeladministrasjonen, distribusjon av offentlige nøkler og tilbakekalling av kompromitterte nøkler. For at verifisering skal være fornuftig, må du også organisere en pålitelig og sikker prosess for distribusjon av offentlige nøkler og sjekksummer. Selv med en digital signatur ignorerer mange brukere bekreftelse ettersom det tar tid å studere bekreftelsesprosessen og forstå hvilken nøkkel som er klarert.
Om Sigstore
Sigstore promoteres som en Let's Encrypt-analog for koden, slevere sertifikater for digital kodesignering og verktøy for å automatisere verifisering. Med Sigstore kan utviklere signere applikasjonsrelaterte gjenstander digitalt som lanseringsfiler, containerbilder, manifester og kjørbare filer. Et trekk ved Sigstore er at materialet som brukes til signering gjenspeiles i en offentlig journal som er beskyttet mot endringer, som kan brukes til verifisering og revisjon.
I stedet for konstante taster, Sigstore bruker kortvarige kortvarige nøkler, De genereres basert på legitimasjonen som er bekreftet av OpenID Connect-leverandørene (når nøklene til den digitale signaturen blir generert, blir utvikleren identifisert gjennom OpenID-leverandøren med en e-postkobling). Autentisiteten til nøklene blir sjekket mot den sentraliserte offentlige posten, slik at du kan sikre at forfatteren av signaturen er nøyaktig den han hevder å være, og at signaturen ble dannet av samme deltaker som var ansvarlig for tidligere versjoner.
Sigstore tilbyr en brukervennlig tjeneste og et sett med verktøy som lar deg implementere lignende tjenester på datamaskinen din. Tjenesten er gratis for alle programvareutviklere og leverandører, og er implementert på en nøytral plattform: Linux Foundation. Alle komponentene i tjenesten er åpen kildekode, skrevet på Go-språket, og distribueres under Apache 2.0-lisensen.
Av komponentene som er under utvikling kan det bemerkes:
- Rekor: en implementering av et register for å lagre digitalt signerte metadata som gjenspeiler informasjon om prosjekter. For å garantere integritet og beskyttelse mot forvrengning av data, brukes "Tree Merkle" -strukturen med tilbakevirkende kraft, der hver gren verifiserer alle tråder og underliggende komponenter, takket være en hash-funksjon.
- Fulcio (SigStore WebPKI) er et system for å opprette sertifiseringsmyndigheter (Root-CA) som utsteder kortvarige sertifikater basert på autentiserte e-postmeldinger via OpenID Connect. Sertifikatets levetid er 20 minutter, i løpet av hvilken tid utvikleren må ha tid til å generere en digital signatur (hvis sertifikatet i fremtiden kommer i hendene på en angriper, vil det utløpe).
- Сosign (Container Signing) et sett med verktøy for å generere signaturer i containere, verifisere signaturer og plasser signerte containere i OCI (Open Container Initiative) kompatible arkiver.
Til slutt, hvis du er interessert i å vite mer om dette prosjektet, kan du konsultere detaljene I den følgende lenken.