Red Hat și Google, împreună cu Universitatea Purdue, au anunțat recent fondarea proiectului Sigstore, a cărui obiectivul este de a crea instrumente și servicii pentru a verifica software-ul folosind semnături digitale și să mențină un registru de transparență publică. Proiectul va fi dezvoltat sub egida Fundației Linux, o organizație non-profit.
Proiectul propus îmbunătățiți securitatea canalelor de distribuție a software-ului și protejați-vă împotriva atacurilor vizate pentru a înlocui componentele software și dependențele (lanțul de aprovizionare). Una dintre preocupările cheie de securitate în software-ul open source este dificultatea de a verifica sursa programului și de a verifica procesul de compilare.
De exemplu, pentru a verifica integritatea unei versiuni, majoritatea proiectelor folosesc hash, Dar adesea informațiile necesare pentru autentificare sunt stocate în sisteme neprotejate și în depozite de coduri partajate, ca urmare a compromisului asupra căruia atacatorii pot înlocui fișierele necesare verificării și, fără a trezi suspiciuni, pot introduce modificări rău intenționate.
Doar o minoritate de proiecte utilizează semnături digitale pentru a distribui versiuni datorită complexității managementului cheie, distribuirea cheilor publice și revocarea cheilor compromise. Pentru ca verificarea să aibă sens, trebuie să organizați și un proces sigur și sigur pentru distribuirea cheilor publice și a sumelor de verificare. Chiar și cu o semnătură digitală, mulți utilizatori ignoră verificarea, deoarece este nevoie de timp pentru a studia procesul de verificare și pentru a înțelege ce cheie este de încredere.
Despre Sigstore
Sigstore este promovat ca un analog Let’s Encrypt pentru cod, pfurnizarea de certificate pentru semnarea codului digital și instrumente pentru automatizarea verificării. Cu Sigstore, dezvoltatorii pot semna digital artefacte legate de aplicații, cum ar fi fișiere de lansare, imagini de containere, manifeste și executabile. O caracteristică a Sigstore este că materialul utilizat pentru semnare se reflectă într-o înregistrare publică protejată de modificări, care poate fi utilizată pentru verificare și audit.
În loc de taste constante, Sigstore folosește chei efemere de scurtă durată, Acestea sunt generate pe baza acreditării confirmate de furnizorii OpenID Connect (în momentul generării cheilor pentru semnătura digitală, dezvoltatorul este identificat prin furnizorul OpenID cu un link de e-mail). Autenticitatea cheilor este verificată în raport cu evidența publică centralizată, permițându-vă să vă asigurați că autorul semnăturii este exact cine pretinde că este și că semnătura a fost formată de același participant care era responsabil pentru versiunile anterioare.
Sigstore oferă un serviciu gata de utilizare și un set de instrumente care vă permit să implementați servicii similare pe computerul dvs. Serviciul este gratuit pentru toți dezvoltatorii și furnizorii de software și este implementat pe o platformă neutră: Linux Foundation. Toate componentele serviciului sunt open source, scrise în limba Go și sunt distribuite sub licența Apache 2.0.
Dintre componentele care sunt dezvoltate, se poate remarca:
- Rekor: o implementare a unui registru pentru stocarea metadatelor semnate digital care reflectă informații despre proiecte. Pentru a garanta integritatea și protecția împotriva distorsionării datelor, structura arborelui „Tree Merkle” este utilizată retroactiv, unde fiecare ramură verifică toate firele și componentele subiacente, datorită unei funcții hash.
- Fulcio (SigStore WebPKI) un sistem pentru crearea autorităților de certificare (Root-CA) care emit certificate de scurtă durată bazate pe e-mailuri autentificate prin OpenID Connect. Durata de viață a certificatului este de 20 de minute, timp în care dezvoltatorul trebuie să aibă timp pentru a genera o semnătură digitală (dacă în viitor certificatul cade în mâinile unui atacator, acesta va expira).
- Сosign (Container Signing) un set de instrumente pentru a genera semnături în containere, verificați semnăturile și plasați containerele semnate în depozitele conforme OCI (Open Container Initiative).
În cele din urmă, dacă sunteți interesat să aflați mai multe despre acest proiect, puteți consulta detaliile În următorul link.