Spoločnosti Red Hat a Google spolu s Purdue University nedávno oznámili založenie projektu Sigstore, ktorého cieľom je vytvoriť nástroje a služby na overenie softvéru pomocou digitálnych podpisov a viesť verejný register transparentnosti. Projekt bude vypracovaný pod záštitou Linux Foundation, neziskovej organizácie.
Navrhovaný projekt zvyšujú bezpečnosť distribučných kanálov softvéru a chránia pred cielenými útokmi nahradiť softvérové komponenty a závislosti (dodávateľský reťazec). Jedným z kľúčových bezpečnostných problémov v softvéri s otvoreným zdrojom je problém s overením zdroja programu a overením procesu zostavenia.
Napr na overenie integrity verzie, väčšina projektov používa hash, Informácie potrebné na autentifikáciu sa ale často ukladajú v nechránených systémoch a v úložiskách zdieľaných kódov, čo je výsledkom kompromisu, ktorý môže útočníkom nahradiť súbory potrebné na overenie a bez vzbudenia podozrenia môže spôsobiť škodlivé zmeny.
Iba malá časť projektov používa digitálne podpisy na distribúciu vydaní kvôli zložitosti správy kľúčov, distribúcia verejných kľúčov a odvolanie zneužitých kľúčov. Aby malo overenie zmysel, musíte tiež zorganizovať spoľahlivý a bezpečný proces distribúcie verejných kľúčov a kontrolných súčtov. Mnoho používateľov aj s digitálnym podpisom ignoruje overenie, pretože štúdium proces overovania a pochopenie toho, ktorému kľúču sa dá dôverovať, si vyžaduje čas.
O spoločnosti Sigstore
Sigstore je propagovaný ako analóg Let's Let's Encrypt pre kód, strposkytovanie certifikátov na digitálne podpisovanie kódov a nástrojov na automatizáciu overovania. So spoločnosťou Sigstore môžu vývojári digitálne podpisovať artefakty súvisiace s aplikáciou, ako sú spúšťacie súbory, obrázky kontajnerov, manifesty a spustiteľné súbory. Funkciou Sigstore je, že materiál použitý na podpisovanie sa odráža vo verejnom zázname chránenom pred zmenami, ktorý je možné použiť na overenie a audit.
Namiesto konštantných klávesov Sigstore používa krátkodobé efemérne kľúče, Generujú sa na základe poverení potvrdených poskytovateľmi OpenID Connect (v čase generovania kľúčov pre digitálny podpis je vývojár identifikovaný prostredníctvom poskytovateľa OpenID pomocou e-mailového odkazu). Autenticita kľúčov sa kontroluje oproti centralizovanému verejnému záznamu, čo vám umožňuje zaistiť, aby autorom podpisu bol presne ten, za koho sa vydáva, a že podpis vytvoril ten istý účastník, ktorý bol zodpovedný za predchádzajúce verzie.
Spoločnosť Sigstore poskytuje službu pripravenú na použitie a sadu nástrojov, ktoré vám umožňujú implementovať podobné služby na vašom počítači. Táto služba je bezplatná pre všetkých vývojárov a dodávateľov softvéru a je implementovaná na neutrálnej platforme: Linux Foundation. Všetky komponenty služby sú open source, napísané v jazyku Go a sú distribuované pod licenciou Apache 2.0.
Z vyvíjaných komponentov je možné poznamenať:
- Rekor: implementácia registra na ukladanie digitálne podpísaných metadát odrážajú informácie o projektoch. Aby bola zaručená integrita a ochrana pred skreslením údajov, je spätne použitá stromová štruktúra „Tree Merkle“, kde každá pobočka vďaka hašovacej funkcii overuje všetky vlákna a základné komponenty.
- Fulcio (SigStore WebPKI) systém na vytváranie certifikačných autorít (Root-CA), ktoré vydávajú krátkodobé certifikáty na základe overených e-mailov cez OpenID Connect. Životnosť certifikátu je 20 minút, počas ktorých musí mať vývojár čas na vygenerovanie digitálneho podpisu (ak sa certifikát v budúcnosti dostane do rúk útočníka, jeho platnosť vyprší).
- Сosign (Container Signing) sada nástrojov na generovanie podpisov v kontajneroch, overte podpisy a vložte podpísané kontajnery do archívov kompatibilných s OCI (Open Container Initiative).
Nakoniec, ak máte záujem dozvedieť sa viac o tomto projekte, môžete si prečítať podrobnosti Na nasledujúcom odkaze.