Red Hat in Google sta skupaj z univerzo Purdue nedavno objavila ustanovitev projekta Sigstore, katerih Cilj je ustvariti orodja in storitve za preverjanje programske opreme z uporabo digitalnih podpisov in voditi javni register preglednosti. Projekt bo razvit pod okriljem fundacije Linux, neprofitne organizacije.
Predlagani projekt povečati varnost kanalov za distribucijo programske opreme in zaščito pred usmerjenimi napadi za zamenjavo programskih komponent in odvisnosti (dobavna veriga). Eden ključnih varnostnih pomislekov pri odprtokodni programski opremi je težava pri preverjanju vira programa in preverjanju postopka izdelave.
Npr za preverjanje celovitosti različice, večina projektov uporablja hash, Pogosto pa se informacije, potrebne za preverjanje pristnosti, shranjujejo v nezaščitenih sistemih in v skupnih skladiščih kod, zaradi česar lahko napadalci nadomestijo datoteke, potrebne za preverjanje, in brez vzbujanja suma uvedejo zlonamerne spremembe.
Le manjšina projektov uporablja digitalne podpise za distribucijo izdaj zaradi zapletenosti upravljanja ključev, razdeljevanje javnih ključev in preklic ogroženih ključev. Da je preverjanje smiselno, morate organizirati tudi zanesljiv in varen postopek za razdeljevanje javnih ključev in kontrolnih vsot. Tudi z digitalnim podpisom mnogi uporabniki preverjanja prezrejo, saj je potreben čas, da preučijo postopek preverjanja in razumejo, kateremu ključu zaupajo.
O podjetju Sigstore
Sigstore se promovira kot šifrirani analog za kodo, strzagotavljanje potrdil za digitalno podpisovanje kod in orodij za avtomatizacijo preverjanja. S programom Sigstore lahko razvijalci digitalno podpišejo predmete, povezane z aplikacijami, kot so zagonske datoteke, slike vsebnikov, manifesti in izvedljive datoteke. Značilnost podjetja Sigstore je, da se gradivo, uporabljeno za podpisovanje, odraža v javni evidenci, zaščiteni pred spremembami, ki se lahko uporablja za preverjanje in revizijo.
Namesto stalnih tipk, Sigstore uporablja kratkotrajne kratkotrajne ključe, Ustvarijo se na podlagi poverilnic, ki jih potrdijo ponudniki OpenID Connect (v času, ko se generirajo ključi za digitalni podpis, se razvijalca identificira prek ponudnika OpenID z e-poštno povezavo). Pristnost ključev se preveri v centraliziranem javnem zapisu, tako da lahko zagotovite, da je avtor podpisa točno takšen, za katerega trdi, da je, in da je podpis oblikoval isti udeleženec, ki je bil odgovoren za prejšnje različice.
Sigstore ponuja storitev, ki je pripravljena za uporabo, in nabor orodij, ki omogočajo izvajanje podobnih storitev v računalniku. Storitev je brezplačna za vse razvijalce in prodajalce programske opreme in se izvaja na nevtralni platformi: Linux Foundation. Vse komponente storitve so odprtokodne, napisane v jeziku Go in se distribuirajo pod licenco Apache 2.0.
Med komponentami, ki se razvijajo, lahko opazimo:
- Rekor: izvedba registra za shranjevanje digitalno podpisanih metapodatkov ki odražajo informacije o projektih. Da bi zagotovili celovitost in zaščito pred izkrivljanjem podatkov, se za nazaj uporablja drevesna struktura "Tree Merkle", kjer vsaka veja s pomočjo zgoščevalne funkcije preveri vse niti in osnovne komponente.
- Fulcio (SigStore WebPKI) sistem za ustvarjanje overiteljev (Root-CA), ki izdajajo kratkotrajna potrdila na podlagi overjenih e-poštnih sporočil prek OpenID Connect. Življenjska doba potrdila je 20 minut, v tem času mora razvijalec imeti čas za ustvarjanje digitalnega podpisa (če bo potrdilo v prihodnosti padlo v roke napadalca, bo poteklo).
- Подpis (Container Signing) nabor orodij za ustvarjanje podpisov v zabojnikih, preverite podpise in postavite podpisane vsebnike v skladišča, skladna z OCI (Open Container Initiative).
Na koncu, če vas zanima več o tem projektu, se lahko obrnete na podrobnosti V naslednji povezavi.