Sigstore บริการยืนยันรหัสการเข้ารหัสจาก Red Hat และ Google

Red Hat และ Google พร้อมกับ Purdue University เพิ่งประกาศการก่อตั้งโครงการ Sigstoreซึ่ง มีวัตถุประสงค์เพื่อสร้างเครื่องมือและบริการเพื่อตรวจสอบซอฟต์แวร์โดยใช้ลายเซ็นดิจิทัล และรักษาทะเบียนความโปร่งใสสาธารณะ โครงการนี้จะได้รับการพัฒนาภายใต้การอุปถัมภ์ของ Linux Foundation ซึ่งเป็นองค์กรไม่แสวงหาผลกำไร

โครงการที่เสนอ เพิ่มความปลอดภัยของช่องทางการเผยแพร่ซอฟต์แวร์และป้องกันการโจมตีแบบกำหนดเป้าหมาย เพื่อแทนที่ส่วนประกอบซอฟต์แวร์และการอ้างอิง (ซัพพลายเชน) ข้อกังวลด้านความปลอดภัยที่สำคัญประการหนึ่งในซอฟต์แวร์โอเพนซอร์สคือความยากลำบากในการตรวจสอบแหล่งที่มาของโปรแกรมและตรวจสอบกระบวนการสร้าง

เช่น เพื่อตรวจสอบความสมบูรณ์ของเวอร์ชัน, โครงการส่วนใหญ่ใช้แฮช แต่บ่อยครั้งข้อมูลที่จำเป็นสำหรับการตรวจสอบสิทธิ์จะถูกเก็บไว้ในระบบที่ไม่มีการป้องกันและในที่เก็บโค้ดที่ใช้ร่วมกันอันเป็นผลมาจากการบุกรุกซึ่งผู้โจมตีสามารถแทนที่ไฟล์ที่จำเป็นสำหรับการตรวจสอบและโดยไม่ต้องสงสัยให้เกิดความสงสัยแนะนำการเปลี่ยนแปลงที่เป็นอันตราย

มีเพียงโครงการส่วนน้อยเท่านั้นที่ใช้ลายเซ็นดิจิทัลเพื่อเผยแพร่การเผยแพร่เนื่องจากความซับซ้อนของการจัดการคีย์ การแจกจ่ายคีย์สาธารณะและการเพิกถอนคีย์ที่ถูกบุกรุก เพื่อให้การตรวจสอบมีความสมเหตุสมผลคุณต้องจัดระเบียบกระบวนการที่เชื่อถือได้และปลอดภัยสำหรับการแจกจ่ายคีย์สาธารณะและการตรวจสอบ แม้จะมีลายเซ็นดิจิทัลผู้ใช้หลายคนก็เพิกเฉยต่อการตรวจสอบเนื่องจากต้องใช้เวลาในการศึกษากระบวนการตรวจสอบและทำความเข้าใจว่าคีย์ใดเชื่อถือ

เกี่ยวกับ Sigstore

Sigstore ได้รับการเลื่อนขั้นเป็นอะนาล็อก Let's Encrypt สำหรับรหัสหน้าให้ใบรับรองสำหรับการลงนามรหัสดิจิทัลและเครื่องมือในการตรวจสอบอัตโนมัติ. ด้วย Sigstore นักพัฒนาสามารถเซ็นชื่อแบบดิจิทัลกับอาร์ติแฟกต์ที่เกี่ยวข้องกับแอปพลิเคชันเช่นไฟล์เปิดใช้งานอิมเมจคอนเทนเนอร์รายการและไฟล์ปฏิบัติการ คุณลักษณะของ Sigstore คือวัสดุที่ใช้สำหรับการลงนามจะแสดงในบันทึกสาธารณะที่ได้รับการป้องกันจากการเปลี่ยนแปลงซึ่งสามารถใช้สำหรับการตรวจสอบและตรวจสอบได้

แทนที่จะเป็นคีย์คงที่ Sigstore ใช้คีย์ชั่วคราวที่มีอายุสั้น ซึ่งสร้างขึ้นตามข้อมูลรับรองที่ยืนยันโดยผู้ให้บริการ OpenID Connect (ในขณะที่สร้างคีย์สำหรับลายเซ็นดิจิทัลผู้พัฒนาจะถูกระบุผ่านผู้ให้บริการ OpenID พร้อมลิงก์อีเมล) ความถูกต้องของคีย์จะถูกตรวจสอบกับบันทึกสาธารณะที่รวมศูนย์ทำให้คุณมั่นใจได้ว่าผู้เขียนลายเซ็นนั้นตรงกับที่เขาอ้างว่าเป็นและลายเซ็นนั้นสร้างขึ้นโดยผู้เข้าร่วมคนเดียวกันกับที่รับผิดชอบเวอร์ชันก่อนหน้า

Sigstore มีบริการที่พร้อมใช้งานและชุดเครื่องมือที่ช่วยให้คุณใช้บริการที่คล้ายกันบนคอมพิวเตอร์ของคุณได้ บริการนี้ให้บริการฟรีสำหรับนักพัฒนาซอฟต์แวร์และผู้จำหน่ายและนำไปใช้บนแพลตฟอร์มที่เป็นกลาง: Linux Foundation ส่วนประกอบทั้งหมดของบริการเป็นโอเพ่นซอร์สซึ่งเขียนด้วยภาษา Go และเผยแพร่ภายใต้ใบอนุญาต Apache 2.0

ส่วนประกอบที่กำลังพัฒนาสามารถสังเกตได้:

• Rekor: การใช้งานรีจิสทรีเพื่อจัดเก็บข้อมูลเมตาที่ลงนามแบบดิจิทัล ที่สะท้อนข้อมูลเกี่ยวกับโครงการ เพื่อรับประกันความสมบูรณ์และการป้องกันการบิดเบือนข้อมูลโครงสร้างทรี "Tree Merkle" จะถูกใช้ย้อนหลังโดยที่แต่ละสาขาจะตรวจสอบเธรดและส่วนประกอบที่อยู่เบื้องหลังทั้งหมดด้วยฟังก์ชันแฮช
• Fulcio (SigStore WebPKI) ระบบสำหรับสร้างผู้ออกใบรับรอง (Root-CA) ที่ออกใบรับรองอายุสั้นโดยอิงจากอีเมลที่ได้รับการรับรองความถูกต้องผ่าน OpenID Connect อายุการใช้งานของใบรับรองคือ 20 นาทีในช่วงเวลาดังกล่าวผู้พัฒนาต้องมีเวลาในการสร้างลายเซ็นดิจิทัล (หากในอนาคตใบรับรองตกอยู่ในมือของผู้โจมตีใบรับรองจะหมดอายุ)
• Сosign (Container Signing) ชุดเครื่องมือในการสร้างลายเซ็นในคอนเทนเนอร์ตรวจสอบลายเซ็นและวางคอนเทนเนอร์ที่ลงนามในที่เก็บที่สอดคล้องกับ OCI (Open Container Initiative)

สุดท้ายนี้หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับโครงการนี้คุณสามารถปรึกษารายละเอียดได้ ในลิงค์ต่อไปนี้.