Red Hat та Google разом із Університетом Пердью нещодавно оголосили про заснування проекту Sigstore, чиї метою є створення інструментів та послуг для перевірки програмного забезпечення за допомогою цифрових підписів та вести публічний реєстр прозорості. Проект розроблятиметься під егідою неприбуткової організації Linux Foundation.
Пропонований проект підвищити безпеку каналів розповсюдження програмного забезпечення та захистити від цілеспрямованих атак для заміни програмних компонентів та залежностей (ланцюжок поставок). Однією з ключових проблем безпеки програмного забезпечення з відкритим кодом є складність перевірки джерела програми та перевірки процесу збірки.
Наприклад, для перевірки цілісності версії, більшість проектів використовують хеш, Але часто інформація, необхідна для автентифікації, зберігається в незахищених системах та у спільних сховищах коду, в результаті компрометації яких зловмисники можуть замінити файли, необхідні для перевірки, і не викликаючи підозр, вносити шкідливі зміни.
Лише меншість проектів використовують цифрові підписи для розповсюдження випусків через складність управління ключами, розподіл відкритих ключів та скасування скомпрометованих ключів. Щоб перевірка мала сенс, вам також потрібно організувати надійний та безпечний процес розподілу відкритих ключів та контрольних сум. Навіть із цифровим підписом багато користувачів ігнорують перевірку, оскільки потрібен час для вивчення процесу перевірки та розуміння того, якому ключу довіряють.
Про Sigstore
Sigstore просувається як аналог Let's Encrypt для коду, снадання сертифікатів на підпис цифрового коду та інструментів для автоматизації перевірки. За допомогою Sigstore розробники можуть цифрово підписувати артефакти, пов’язані з додатками, такі як файли запуску, зображення контейнерів, маніфести та виконувані файли. Особливістю Sigstore є те, що матеріали, що використовуються для підписання, відображаються у загальнодоступному записі, захищеному від змін, який можна використовувати для перевірки та аудиту.
Замість постійних клавіш, Sigstore використовує короткочасні ефемерні ключі, Вони генеруються на основі облікових даних, підтверджених провайдерами OpenID Connect (під час створення ключів цифрового підпису розробник ідентифікується через постачальника OpenID із посиланням електронної пошти). Справжність ключів перевіряється на основі централізованого загальнодоступного запису, що дозволяє вам переконатися, що автор підпису є саме тим, ким він претендує, і що підпис був сформований тим самим учасником, який відповідав за попередні версії.
Sigstore надає готову до використання послугу та набір інструментів, які дозволяють впроваджувати подібні послуги на своєму комп’ютері. Послуга є безкоштовною для всіх розробників та постачальників програмного забезпечення та реалізована на нейтральній платформі: Linux Foundation. Усі компоненти служби є відкритими, написані мовою Go та розповсюджуються за ліцензією Apache 2.0.
З компонентів, що розробляються, можна зазначити:
- Rekor: реалізація реєстру для зберігання цифрових підписів метаданих які відображають інформацію про проекти. Щоб гарантувати цілісність та захист від спотворення даних, деревоподібна структура "Tree Merkle" використовується із зворотною силою, де кожна гілка перевіряє всі потоки та основні компоненти завдяки хеш-функції.
- Fulcio (SigStore WebPKI) система для створення органів сертифікації (Root-CA), які видають короткочасні сертифікати на основі автентифікованих електронних листів через OpenID Connect. Термін служби сертифіката становить 20 хвилин, протягом яких розробник повинен встигнути згенерувати цифровий підпис (якщо в майбутньому сертифікат потрапить в руки зловмисника, термін його дії закінчується).
- Сosign (підпис контейнера) набір інструментів для генерації підписів у контейнерах, перевірити підписи та розмістити підписані контейнери у сховищах, сумісних з OCI (Open Container Initiative).
Нарешті, якщо вам цікаво дізнатись більше про цей проект, ви можете проконсультуватися з деталями У наступному посиланні.