Red Hat dhe Google, së bashku me Universitetin Purdue njoftuan kohët e fundit themelimin e projektit Sigstore, e kujt objektivi është krijimi i mjeteve dhe shërbimeve për të verifikuar softuerin duke përdorur nënshkrimet dixhitale dhe të mbajë një regjistër të transparencës publike. Projekti do të zhvillohet nën kujdesin e Fondacionit Linux, një organizatë jofitimprurëse.
Projekti i propozuar rrisin sigurinë e kanaleve të shpërndarjes së softverit dhe mbrojnë nga sulmet e synuara për të zëvendësuar komponentët dhe varësitë e softuerit (zinxhiri i furnizimit). Një nga shqetësimet kryesore të sigurisë në softuerin me burim të hapur është vështirësia për të verifikuar burimin e programit dhe për të verifikuar procesin e ndërtimit.
P.sh. për të verifikuar integritetin e një versioni, shumica e projekteve përdorin hash, Por shpesh informacioni i kërkuar për vërtetim ruhet në sisteme të pambrojtura dhe në depot e kodit të përbashkët, si rezultat i kompromisit të të cilit sulmuesit mund të zëvendësojnë skedarët e nevojshëm për verifikim dhe pa ngjallur dyshime, futin ndryshime të dëmshme.
Vetëm një pakicë e projekteve përdor nënshkrime dixhitale për të shpërndarë njoftime për shkak të ndërlikimeve të menaxhimit të çelësave, shpërndarja e çelësave publikë dhe revokimi i çelësave të kompromentuar. Që verifikimi të ketë kuptim, ju gjithashtu duhet të organizoni një proces të besueshëm dhe të sigurt për shpërndarjen e çelësave publik dhe tabelave të kontrollit. Edhe me një nënshkrim dixhital, shumë përdorues e injorojnë verifikimin pasi duhet kohë për të studiuar procesin e verifikimit dhe për të kuptuar se cilit çelës i besohet.
Rreth Sigstore
Sigstore promovohet si një analog Le të Kriptojmë për kodin, fsigurimi i certifikatave për nënshkrimin e kodit dixhital dhe mjetet për automatizimin e verifikimit. Me Sigstore, zhvilluesit mund të nënshkruajnë digjitalisht objekte të lidhura me aplikacionet, të tilla si skedarët e nisjes, imazhet e kontejnerëve, manifestet dhe ekzekutuesit. Një tipar i Sigstore është që materiali i përdorur për nënshkrim pasqyrohet në një regjistër publik të mbrojtur nga ndryshimet, i cili mund të përdoret për verifikim dhe auditim.
Në vend të çelësave të vazhdueshëm, Sigstore përdor çelësa efemerë jetëshkurtër, Ato gjenerohen bazuar në kredencialet e konfirmuara nga ofruesit OpenID Connect (në kohën kur gjenerohen çelësat për nënshkrimin dixhital, zhvilluesi identifikohet përmes ofruesit të OpenID me një lidhje email). Vërtetësia e çelësave kontrollohet ndaj regjistrit publik të centralizuar, duke ju lejuar të siguroheni që autori i nënshkrimit është pikërisht ai që pretendon të jetë dhe se nënshkrimi është formuar nga i njëjti pjesëmarrës që ishte përgjegjës për versionet e mëparshme.
Sigstore ofron një shërbim të gatshëm për përdorim dhe një grup mjetesh që ju lejojnë të zbatoni shërbime të ngjashme në kompjuterin tuaj. Shërbimi është falas për të gjithë zhvilluesit e softuerëve dhe shitësit dhe zbatohet në një platformë neutrale - Fondacioni Linux. Të gjithë përbërësit e shërbimit janë me burim të hapur, të shkruar në gjuhën Go, dhe shpërndahen nën licencën Apache 2.0.
Nga përbërësit që janë duke u zhvilluar, mund të vërehet:
- Rekor: një zbatim i një regjistri për të ruajtur të dhënat meta të nënshkruara në mënyrë dixhitale që pasqyrojnë informacionin në lidhje me projektet. Për të garantuar integritetin dhe mbrojtjen nga shtrembërimi i të dhënave, struktura e pemës "Tree Merkle" përdoret në mënyrë retroaktive, ku secila degë verifikon të gjitha fijet dhe përbërësit themelorë, falë një funksioni hash.
- Fulcio (SigStore WebPKI) një sistem për krijimin e autoriteteve të çertifikimit (Root-CA) që lëshojnë certifikata jetëshkurtra bazuar në email të vërtetuara përmes OpenID Connect. Jetëgjatësia e certifikatës është 20 minuta, kohë gjatë së cilës zhvilluesi duhet të ketë kohë për të gjeneruar një nënshkrim dixhital (nëse në të ardhmen certifikata bie në duart e një sulmuesi, ajo do të skadojë).
- Сosign (Nënshkrimi i Kontejnerit) një grup mjetesh për të gjeneruar nënshkrime në kontejnerë, verifikoni nënshkrimet dhe vendosni kontejnerët e nënshkruar në depot në përputhje me OCI (Open Container Initiative).
Së fundmi, nëse jeni të interesuar të dini më shumë rreth këtij projekti, mund të konsultoheni me detajet Në lidhjen vijuese.