Red Hat ve Google, Purdue Üniversitesi ile birlikte yakın zamanda Sigstore projesinin kuruluşunu duyurdu, kimin amaç, dijital imzalar kullanarak yazılımı doğrulamak için araçlar ve hizmetler oluşturmaktır ve bir kamu şeffaflık sicilini muhafaza edin. Proje, kar amacı gütmeyen bir kuruluş olan Linux Vakfı'nın himayesinde geliştirilecektir.
Önerilen proje yazılım dağıtım kanallarının güvenliğini artırın ve hedefli saldırılara karşı koruyun yazılım bileşenlerini ve bağımlılıklarını (tedarik zinciri) değiştirmek için. Açık kaynak yazılımdaki en önemli güvenlik endişelerinden biri, programın kaynağını ve derleme sürecini doğrulamanın zorluğudur.
Örnek bir sürümün bütünlüğünü doğrulamak için, çoğu proje karma kullanır, Ancak kimlik doğrulama için gereken bilgiler genellikle korumasız sistemlerde ve paylaşılan kod depolarında depolanır; saldırganların doğrulama için gerekli dosyaları değiştirebilmesi ve şüphe uyandırmadan bu tür dosyaların yerini alması sonucunda kötü niyetli değişiklikler ortaya çıkar.
Yalnızca az sayıda proje, anahtar yönetiminin karmaşıklığı nedeniyle sürümleri dağıtmak için dijital imzalar kullanır, genel anahtarların dağıtımı ve güvenliği ihlal edilmiş anahtarların iptali. Doğrulamanın anlamlı olması için, genel anahtarların ve sağlama toplamlarının dağıtılmasına yönelik güvenilir ve güvenli bir süreç düzenlemeniz gerekir. Dijital imzayla bile, birçok kullanıcı doğrulama sürecini incelemek ve hangi anahtara güvenildiğini anlamak zaman aldığı için doğrulamayı göz ardı eder.
Sigstore hakkında
Sigstore, Let's Encrypt analogu olarak tanıtıldı kod için, pdijital kod imzalama için sertifikalar ve doğrulamayı otomatikleştirmek için araçlar sağlama. Sigstore ile geliştiriciler, başlatma dosyaları, kapsayıcı görüntüleri, bildirimler ve çalıştırılabilir dosyalar gibi uygulamayla ilgili yapıları dijital olarak imzalayabilir. Sigstore'un bir özelliği, imzalamak için kullanılan materyalin, doğrulama ve denetim için kullanılabilen, değişikliklerden korunan bir kamuya açık kayıtta yansıtılmasıdır.
Sabit tuşlar yerine, Sigstore, kısa ömürlü geçici anahtarlar kullanır, OpenID Connect sağlayıcıları tarafından onaylanan kimlik bilgilerine göre oluşturulurlar (dijital imza için anahtarlar üretildiğinde, geliştirici bir e-posta bağlantısıyla OpenID sağlayıcısı aracılığıyla tanımlanır). Anahtarların gerçekliği, merkezi kamuya açık kayıtla karşılaştırılarak, imzanın yazarının tam olarak iddia ettiği kişi olduğundan ve imzanın önceki sürümlerden sorumlu olan aynı katılımcı tarafından oluşturulduğundan emin olmanıza olanak tanır.
Sigstore, kullanıma hazır bir hizmet ve bilgisayarınızda benzer hizmetleri uygulamanıza olanak tanıyan bir dizi araç sağlar. Hizmet, tüm yazılım geliştiricileri ve satıcıları için ücretsizdir ve tarafsız bir platformda uygulanmaktadır: Linux Vakfı. Hizmetin tüm bileşenleri açık kaynaklıdır, Go dilinde yazılmıştır ve Apache 2.0 lisansı altında dağıtılır.
Geliştirilmekte olan bileşenlerden not edilebilir:
- Rekor: dijital olarak imzalanmış meta verileri depolamak için bir kayıt uygulaması projeler hakkındaki bilgileri yansıtan. Veri bozulmasına karşı bütünlüğü ve korumayı garantilemek için, "Tree Merkle" ağaç yapısı geriye dönük olarak kullanılır ve burada her dal, bir karma işlevi sayesinde tüm iş parçacıkları ve temel bileşenleri doğrular.
- Fulcio (SigStore WebPKI), sertifika yetkilileri oluşturmak için bir sistem OpenID Connect aracılığıyla kimliği doğrulanmış e-postalara dayalı olarak kısa ömürlü sertifikalar yayınlayan (Kök-CA). Sertifikanın ömrü 20 dakikadır ve bu süre boyunca geliştiricinin dijital imza oluşturması için zamana sahip olması gerekir (sertifika gelecekte bir saldırganın eline geçerse, süresi dolar).
- Konteynırlarda imza oluşturmak için bir dizi aracı Сosign (Konteyner İmzalama), imzaları doğrulayın ve imzalı kapsayıcıları OCI (Açık Konteyner Girişimi) uyumlu havuzlara yerleştirin.
Son olarak, bu proje hakkında daha fazla bilgi edinmek istiyorsanız, ayrıntılara başvurabilirsiniz. Aşağıdaki bağlantıda.