Sigstore, сервис проверки криптографического кода от Red Hat и Google

Red Hat и Google вместе с Университетом Purdue недавно объявили о создании проекта Sigstore., чьи цель - создание инструментов и сервисов для проверки программного обеспечения с использованием цифровых подписей. и вести реестр публичной прозрачности. Проект будет разрабатываться под эгидой некоммерческой организации Linux Foundation.

Предлагаемый проект повысить безопасность каналов распространения программного обеспечения и защитить от целевых атак для замены программных компонентов и зависимостей (цепочка поставок). Одной из ключевых проблем безопасности в программном обеспечении с открытым исходным кодом является сложность проверки источника программы и проверки процесса сборки.

Например, для проверки целостности версии, большинство проектов используют хеш, Но часто информация, необходимая для аутентификации, хранится в незащищенных системах и в общих репозиториях кода, в результате компрометации которых злоумышленники могут заменить файлы, необходимые для проверки, и, не вызывая подозрений, внести вредоносные изменения.

Лишь небольшая часть проектов использует цифровые подписи для распространения релизов из-за сложности управления ключами, распространение открытых ключей и отзыв скомпрометированных ключей. Чтобы проверка имела смысл, вам также необходимо организовать надежный и безопасный процесс распространения открытых ключей и контрольных сумм. Даже с цифровой подписью многие пользователи игнорируют проверку, поскольку требуется время, чтобы изучить процесс проверки и понять, какому ключу можно доверять.

О Sigstore

Sigstore продвигается как аналог Let's Encrypt для кода, pпредоставление сертификатов для цифровой подписи кода и инструментов для автоматизации проверки. С помощью Sigstore разработчики могут подписывать связанные с приложениями артефакты, такие как файлы запуска, образы контейнеров, манифесты и исполняемые файлы. Особенностью Sigstore является то, что материал, используемый для подписи, отражается в общедоступной записи, защищенной от изменений, которую можно использовать для проверки и аудита.

Вместо постоянных ключей Sigstore использует недолговечные эфемерные ключи, Они генерируются на основе учетных данных, подтвержденных поставщиками OpenID Connect (во время создания ключей для цифровой подписи разработчик идентифицируется через поставщика OpenID с помощью ссылки электронной почты). Подлинность ключей проверяется по централизованной общедоступной записи, что позволяет убедиться, что автор подписи является именно тем, кем он себя называет, и что подпись была сформирована тем же участником, который отвечал за предыдущие версии.

Sigstore предоставляет готовую услугу и набор инструментов, которые позволяют реализовать аналогичные услуги на вашем компьютере. Услуга бесплатна для всех разработчиков и поставщиков программного обеспечения и реализована на нейтральной платформе: Linux Foundation. Все компоненты сервиса имеют открытый исходный код, написаны на языке Go и распространяются по лицензии Apache 2.0.

Из компонентов, которые разрабатываются, можно отметить:

  • Rekor: реализация реестра для хранения метаданных с цифровой подписью отражающие информацию о проектах. Чтобы гарантировать целостность и защиту от искажения данных, структура дерева «Tree Merkle» используется задним числом, где каждая ветвь проверяет все потоки и базовые компоненты благодаря хеш-функции.
  • Fulcio (SigStore WebPKI) система для создания центров сертификации (Root-CA), которые выдают краткосрочные сертификаты на основе аутентифицированных писем через OpenID Connect. Срок действия сертификата составляет 20 минут, за это время разработчик должен успеть сгенерировать цифровую подпись (если в будущем сертификат попадет в руки злоумышленника, срок его действия истечет).
  • Сosign (Container Signing) набор инструментов для генерации подписей в контейнерах, проверять подписи и размещать подписанные контейнеры в репозиториях, совместимых с OCI (Open Container Initiative).

Наконец, если вам интересно узнать больше об этом проекте, вы можете ознакомиться с деталями По следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.