Red Hat i Google wraz z Purdue University ogłosiły niedawno powstanie projektu Sigstore, którego celem jest stworzenie narzędzi i usług do weryfikacji oprogramowania przy użyciu podpisów cyfrowych i prowadzić publiczny rejestr przejrzystości. Projekt będzie rozwijany pod auspicjami Linux Foundation, organizacji non-profit.
Proponowany projekt zwiększyć bezpieczeństwo kanałów dystrybucji oprogramowania i chronić przed ukierunkowanymi atakami do wymiany komponentów oprogramowania i zależności (łańcuch dostaw). Jednym z kluczowych problemów związanych z bezpieczeństwem w oprogramowaniu typu open source jest trudność w weryfikacji źródła programu i weryfikacji procesu kompilacji.
Np. aby zweryfikować integralność wersji, większość projektów używa hasha, Często jednak informacje wymagane do uwierzytelnienia są przechowywane w niezabezpieczonych systemach oraz we współdzielonych repozytoriach kodu, w wyniku kompromitacji atakujący mogą podmienić pliki niezbędne do weryfikacji i bez wzbudzania podejrzeń wprowadzić złośliwe zmiany.
Tylko niewielka część projektów używa podpisów cyfrowych do dystrybucji wydań ze względu na złożoność zarządzania kluczami, dystrybucja kluczy publicznych i unieważnianie kluczy, których bezpieczeństwo zostało naruszone. Aby weryfikacja miała sens, musisz również zorganizować niezawodny i bezpieczny proces dystrybucji kluczy publicznych i sum kontrolnych. Nawet w przypadku podpisu cyfrowego wielu użytkowników ignoruje weryfikację, ponieważ przestudiowanie procesu weryfikacji i zrozumienie, który klucz jest zaufany, zajmuje trochę czasu.
O Sigstore
Sigstore jest promowany jako analog Let's Encrypt dla kodu strdostarczanie certyfikatów do cyfrowego podpisywania kodu i narzędzi do automatyzacji weryfikacji. Dzięki Sigstore programiści mogą cyfrowo podpisywać artefakty związane z aplikacjami, takie jak pliki uruchamiania, obrazy kontenerów, manifesty i pliki wykonywalne. Cechą Sigstore jest to, że materiał użyty do podpisania znajduje odzwierciedlenie w publicznym rejestrze chronionym przed zmianami, który może być wykorzystany do weryfikacji i audytu.
Zamiast stałych kluczy Sigstore używa krótkotrwałych, efemerycznych kluczy, Są one generowane na podstawie poświadczeń potwierdzonych przez dostawców OpenID Connect (w momencie generowania kluczy do podpisu cyfrowego deweloper jest identyfikowany za pośrednictwem dostawcy OpenID za pomocą łącza e-mail). Autentyczność kluczy jest sprawdzana w scentralizowanym publicznym rejestrze, co pozwala upewnić się, że autorem podpisu jest dokładnie to, za kogo się podaje, oraz że podpis został złożony przez tego samego uczestnika, który był odpowiedzialny za poprzednie wersje.
Sigstore zapewnia gotową do użycia usługę oraz zestaw narzędzi, które pozwalają na wdrożenie podobnych usług na Twoim komputerze. Usługa jest bezpłatna dla wszystkich twórców oprogramowania i sprzedawców i jest wdrażana na neutralnej platformie: Linux Foundation. Wszystkie składniki usługi są open source, napisane w języku Go i są rozpowszechniane na licencji Apache 2.0.
Spośród opracowywanych komponentów można zauważyć:
- Rekor: wdrożenie rejestru do przechowywania cyfrowo podpisanych metadanych które odzwierciedlają informacje o projektach. Aby zagwarantować integralność i ochronę przed zniekształceniem danych, struktura drzewa „Tree Merkle” jest stosowana wstecz, gdzie każda gałąź weryfikuje wszystkie wątki i podstawowe komponenty dzięki funkcji skrótu.
- Fulcio (SigStore WebPKI) system do tworzenia urzędów certyfikacji (Root-CA), które wydają krótkotrwałe certyfikaty na podstawie uwierzytelnionych wiadomości e-mail za pośrednictwem OpenID Connect. Żywotność certyfikatu to 20 minut, podczas których deweloper musi mieć czas na wygenerowanie podpisu cyfrowego (jeśli w przyszłości certyfikat wpadnie w ręce atakującego, wygaśnie).
- Сosign (Container Signing) zestaw narzędzi do generowania podpisów w kontenerach, weryfikuj podpisy i umieszczaj podpisane kontenery w repozytoriach zgodnych z OCI (Open Container Initiative).
Wreszcie, jeśli chcesz dowiedzieć się więcej o tym projekcie, możesz zapoznać się ze szczegółami W poniższym linku.