Sigstore, сервис проверки криптографического кода от Red Hat и Google

Red Hat и Google вместе с Университетом Purdue недавно объявили о создании проекта Sigstore., чьи цель - создание инструментов и сервисов для проверки программного обеспечения с использованием цифровых подписей. и вести реестр публичной прозрачности. Проект будет разрабатываться под эгидой некоммерческой организации Linux Foundation.

Предлагаемый проект повысить безопасность каналов распространения программного обеспечения и защитить от целевых атак для замены программных компонентов и зависимостей (цепочка поставок). Одной из ключевых проблем безопасности в программном обеспечении с открытым исходным кодом является сложность проверки источника программы и проверки процесса сборки.

Например, для проверки целостности версии, большинство проектов используют хеш, Но часто информация, необходимая для аутентификации, хранится в незащищенных системах и в общих репозиториях кода, в результате компрометации которых злоумышленники могут заменить файлы, необходимые для проверки, и, не вызывая подозрений, внести вредоносные изменения.

Лишь небольшая часть проектов использует цифровые подписи для распространения релизов из-за сложности управления ключами, распространение открытых ключей и отзыв скомпрометированных ключей. Чтобы проверка имела смысл, вам также необходимо организовать надежный и безопасный процесс распространения открытых ключей и контрольных сумм. Даже с цифровой подписью многие пользователи игнорируют проверку, поскольку требуется время, чтобы изучить процесс проверки и понять, какому ключу можно доверять.

О Sigstore

Sigstore продвигается как аналог Let's Encrypt для кода, pпредоставление сертификатов для цифровой подписи кода и инструментов для автоматизации проверки. С помощью Sigstore разработчики могут подписывать связанные с приложениями артефакты, такие как файлы запуска, образы контейнеров, манифесты и исполняемые файлы. Особенностью Sigstore является то, что материал, используемый для подписи, отражается в общедоступной записи, защищенной от изменений, которую можно использовать для проверки и аудита.

Вместо постоянных ключей Sigstore использует недолговечные эфемерные ключи, Они генерируются на основе учетных данных, подтвержденных поставщиками OpenID Connect (во время создания ключей для цифровой подписи разработчик идентифицируется через поставщика OpenID с помощью ссылки электронной почты). Подлинность ключей проверяется по централизованной общедоступной записи, что позволяет убедиться, что автор подписи является именно тем, кем он себя называет, и что подпись была сформирована тем же участником, который отвечал за предыдущие версии.

Sigstore предоставляет готовую услугу и набор инструментов, которые позволяют реализовать аналогичные услуги на вашем компьютере. Услуга бесплатна для всех разработчиков и поставщиков программного обеспечения и реализована на нейтральной платформе: Linux Foundation. Все компоненты сервиса имеют открытый исходный код, написаны на языке Go и распространяются по лицензии Apache 2.0.

Из компонентов, которые разрабатываются, можно отметить:

  • Rekor: реализация реестра для хранения метаданных с цифровой подписью отражающие информацию о проектах. Чтобы гарантировать целостность и защиту от искажения данных, структура дерева «Tree Merkle» используется задним числом, где каждая ветвь проверяет все потоки и базовые компоненты благодаря хеш-функции.
  • Fulcio (SigStore WebPKI) система для создания центров сертификации (Root-CA), которые выдают краткосрочные сертификаты на основе аутентифицированных писем через OpenID Connect. Срок действия сертификата составляет 20 минут, за это время разработчик должен успеть сгенерировать цифровую подпись (если в будущем сертификат попадет в руки злоумышленника, срок его действия истечет).
  • Сosign (Container Signing) набор инструментов для генерации подписей в контейнерах, проверять подписи и размещать подписанные контейнеры в репозиториях, совместимых с OCI (Open Container Initiative).

Наконец, если вам интересно узнать больше об этом проекте, вы можете ознакомиться с деталями По следующей ссылке.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.