Sigstore, система криптографической проверки уже работает стабильно

Сигстор

Sigstore можно рассматривать как Let's Encrypt для кода, предоставляя сертификаты для цифровой подписи кода и инструменты для автоматической проверки.

Google представил через сообщение в блоге, объявление о формирование первых стабильных версий компоненты, из которых состоит проект магазин, который объявлен пригодным для создания рабочих развертываний.

Для тех, кто не знает о Sigstore, они должны знать, что это проект, который имеет целью разработку и предоставление инструментов и услуг для проверки программного обеспечения использование цифровых подписей и ведение общедоступного реестра, подтверждающего подлинность изменений (прозрачный реестр).

С Сигстором, разработчики могут ставить цифровую подпись связанные с приложением артефакты, такие как файлы выпуска, образы контейнеров, манифесты и исполняемые файлы. Материал, используемый для подпись отражается в защищенной от несанкционированного доступа общедоступной записи которые можно использовать для проверки и аудита.

Вместо постоянных ключей, Sigstore использует недолговечные эфемерные ключи которые генерируются на основе учетных данных, проверенных поставщиками OpenID Connect (во время создания ключей, необходимых для создания цифровой подписи, разработчик идентифицируется через поставщика OpenID со ссылкой на электронную почту).

Подлинность ключей проверяется централизованным общедоступным реестром, что позволяет убедиться, что автор подписи именно тот, за кого себя выдает, и что подпись сформирована тем же участником, который отвечал за более ранние версии.

Подготовка Sigstore для реализации связано с версии двух ключевых компонентов: Рекор 1.0 и Фульсио 1.0, программные интерфейсы которого объявлены стабильными и отныне сохраняют совместимость с предыдущими версиями. Компоненты сервиса написаны на Go и выпускаются под лицензией Apache 2.0.

Компонент Rekor содержит реализацию реестра для хранения метаданных с цифровой подписью. которые отражают информацию о проектах. Для обеспечения целостности и защиты от повреждения данных используется структура дерева Меркла, в которой каждая ветвь проверяет все нижележащие ветви и узлы с помощью совместного хэша (дерева). Имея итоговый хеш, пользователь может проверить правильность всей истории операций, а также правильность прошлых состояний базы данных (корневой контрольный хэш нового состояния базы данных вычисляется с учетом прошлого состояния). Предоставляется RESTful API для проверки и добавления новых записей, а также интерфейс командной строки.

Компонент фульций (SigStore WebPKI) включает систему создания центров сертификации (корневой ЦС), которые выдают краткосрочные сертификаты на основе аутентифицированной электронной почты через OpenID Connect. Время жизни сертификата составляет 20 минут, в течение которых разработчик должен успеть сгенерировать цифровую подпись (если сертификат попадет в руки злоумышленнику в будущем, срок его действия уже будет просрочен). Также, проект разрабатывает инструментарий Cosign (Container Signing), предназначенный для создания подписей для контейнеров, проверки подписей и размещения подписанных контейнеров в репозиториях, совместимых с OCI (Open Container Initiative).

La Introductionción de Sigstore позволяет повысить безопасность каналов распространения ПО и защитить от атак, нацеленных на библиотеку и замену зависимостей (цепочка поставок). Одной из ключевых проблем безопасности программного обеспечения с открытым исходным кодом является сложность проверки источника программы и проверки процесса сборки.

Использование цифровых подписей для проверки версий пока не получило широкого распространения. из-за трудностей в управлении ключами, распространении открытых ключей и отзыве скомпрометированных ключей. Чтобы проверка имела смысл, также необходимо организовать надежный и безопасный процесс распространения открытых ключей и контрольных сумм. Даже с цифровой подписью многие пользователи игнорируют проверку, потому что требуется время, чтобы изучить процесс проверки и понять, какому ключу доверять.

Проект разрабатывается под эгидой некоммерческой Linux Foundation компаний Google, Red Hat, Cisco, vmWare, GitHub и HP Enterprise при участии OpenSSF (Open Source Security Foundation) и Университета Пердью.

Наконец, если вы хотите узнать об этом больше, вы можете ознакомиться с подробностями в по следующей ссылке.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.