Ред Хат и Гоогле, заједно са Универзитетом Пурдуе, недавно су најавили оснивање пројекта Сигсторе, чији Циљ је стварање алата и услуга за верификацију софтвера помоћу дигиталних потписа и одржавати јавни регистар транспарентности. Пројекат ће се развијати под покровитељством Линук фондације, непрофитне организације.
Предложени пројекат побољшати сигурност канала за дистрибуцију софтвера и заштитити од циљаних напада да замени софтверске компоненте и зависности (ланац снабдевања). Једна од кључних забринутости за сигурност софтвера отвореног кода је потешкоћа у верификацији извора програма и верификацији процеса израде.
Нпр ради провере интегритета верзије, већина пројеката користи хеш, Али често се информације потребне за потврду идентитета чувају у незаштићеним системима и у дељеним спремиштима кода, што резултира компромисом који нападачи могу да замене датотеке неопходне за верификацију и без изазивања сумње уводе злонамерне промене.
Само мањи број пројеката користи дигиталне потписе за дистрибуцију издања због сложености управљања кључевима, дистрибуција јавних кључева и опозив угрожених кључева. Да би верификација имала смисла, такође је потребно да организујете поуздан и сигуран поступак дистрибуције јавних кључева и контролних сума. Чак и са дигиталним потписом, многи корисници занемарују верификацију, јер је потребно време за проучавање процеса верификације и разумевање којем кључу се верује.
О компанији Сигсторе
Сигсторе је промовисан као Лет'с Енцрипт аналог за код, стробезбеђивање сертификата за потписивање дигиталног кода и алата за аутоматизацију верификације. Помоћу Сигсторе-а програмери могу дигитално да потпишу артефакте повезане са апликацијама као што су датотеке за покретање, слике контејнера, манифести и извршне датотеке. Карактеристика Сигсторе-а је да се материјал који се користи за потписивање одражава у јавном запису заштићеном од промена, који се може користити за верификацију и ревизију.
Уместо сталних тастера, Сигсторе користи краткотрајне ефемерне кључеве, Они се генеришу на основу акредитива које су потврдили добављачи ОпенИД Цоннецт (у време када се генеришу кључеви за дигитални потпис, програмер се идентификује преко добављача ОпенИД-а са везом е-поште). Аутентичност кључева се проверава према централизованој јавној евиденцији, омогућавајући вам да осигурате да је аутор потписа тачно онај за кога тврди да је и да је потпис формирао исти учесник који је био одговоран за претходне верзије.
Сигсторе нуди услугу спремну за употребу и сет алата који вам омогућавају да сличне услуге примените на рачунару. Услуга је бесплатна за све програмере и добављаче софтвера и имплементирана је на неутралној платформи: Линук Фоундатион. Све компоненте услуге су отвореног кода, написане су на језику Го и дистрибуирају се под лиценцом Апацхе 2.0.
Од компонената које се развијају, може се приметити:
- Рекор: примена регистра за чување дигитално потписаних метаподатака који одражавају информације о пројектима. Да би се гарантовао интегритет и заштита од изобличења података, ретроактивно се користи структура стабла „Трее Меркле“, где свака грана проверава све нити и основне компоненте, захваљујући хеш функцији.
- Фулцио (СигСторе ВебПКИ) систем за стварање органа за сертификацију (Роот-ЦА) који издају краткотрајне сертификате на основу потврђених е-адреса путем ОпенИД Цоннецт. Животни век сертификата је 20 минута, током којих програмер мора имати времена да генерише дигитални потпис (ако у будућности цертификат падне у руке нападача, истиће).
- Подпис (Цонтаинер Сигнинг) скуп алата за генерисање потписа у контејнерима, проверите потписе и поставите потписане контејнере у ОЦИ (Опен Цонтаинер Инитиативе) компатибилна складишта.
И на крају, ако сте заинтересовани да сазнате више о овом пројекту, можете погледати детаље У следећем линку.