Red Hat và Google, cùng với Đại học Purdue gần đây đã công bố thành lập dự án Sigstore, ai mục tiêu là tạo ra các công cụ và dịch vụ để xác minh phần mềm sử dụng chữ ký số và duy trì một cơ quan đăng ký minh bạch công khai. Dự án sẽ được phát triển dưới sự bảo trợ của Linux Foundation, một tổ chức phi lợi nhuận.
Dự án được đề xuất tăng cường bảo mật cho các kênh phân phối phần mềm và bảo vệ khỏi các cuộc tấn công có chủ đích để thay thế các thành phần phần mềm và các yếu tố phụ thuộc (chuỗi cung ứng). Một trong những mối quan tâm chính về bảo mật trong phần mềm nguồn mở là khó khăn trong việc xác minh nguồn của chương trình và xác minh quá trình xây dựng.
Ví dụ: để xác minh tính toàn vẹn của một phiên bản, hầu hết các dự án sử dụng hàm băm, Nhưng thường thông tin cần thiết để xác thực được lưu trữ trong các hệ thống không được bảo vệ và trong kho lưu trữ mã được chia sẻ, do sự xâm phạm mà những kẻ tấn công có thể thay thế các tệp cần thiết để xác minh và không gây nghi ngờ, đưa ra các thay đổi độc hại.
Chỉ một số ít các dự án sử dụng chữ ký số để phân phối các bản phát hành do sự phức tạp của việc quản lý khóa, việc phân phối các khóa công khai và thu hồi các khóa bị xâm phạm. Để xác minh có ý nghĩa, bạn cũng cần tổ chức một quy trình đáng tin cậy và an toàn để phân phối khóa công khai và tổng kiểm tra. Ngay cả với chữ ký điện tử, nhiều người dùng bỏ qua xác minh vì phải mất thời gian để nghiên cứu quy trình xác minh và hiểu khóa nào đáng tin cậy.
Về Sigstore
Sigstore được quảng bá là một tương tự Let's Encrypt cho mã, pcung cấp chứng chỉ để ký mã kỹ thuật số và các công cụ để tự động xác minh. Với Sigstore, các nhà phát triển có thể ký kỹ thuật số tạo tác liên quan đến ứng dụng như tệp khởi chạy, hình ảnh vùng chứa, tệp kê khai và tệp thực thi. Một đặc điểm của Sigstore là tài liệu được sử dụng để ký được phản ánh trong một hồ sơ công khai được bảo vệ khỏi những thay đổi, có thể được sử dụng để xác minh và kiểm toán.
Thay vì các phím không đổi, Sigstore sử dụng các khóa tạm thời tồn tại trong thời gian ngắn, Chúng được tạo dựa trên thông tin đăng nhập được xác nhận bởi nhà cung cấp OpenID Connect (tại thời điểm tạo khóa cho chữ ký điện tử, nhà phát triển được xác định thông qua nhà cung cấp OpenID bằng liên kết email). Tính xác thực của các khóa được kiểm tra dựa trên hồ sơ công khai tập trung, cho phép bạn đảm bảo rằng tác giả của chữ ký chính xác là người mà anh ta tuyên bố là ai và chữ ký đó được hình thành bởi cùng một người tham gia chịu trách nhiệm về các phiên bản trước đó.
Sigstore cung cấp một dịch vụ sẵn sàng sử dụng và một bộ công cụ cho phép bạn triển khai các dịch vụ tương tự trên máy tính của mình. Dịch vụ này miễn phí cho tất cả các nhà phát triển và nhà cung cấp phần mềm, và được triển khai trên một nền tảng trung lập: Linux Foundation. Tất cả các thành phần của dịch vụ đều là mã nguồn mở, được viết bằng ngôn ngữ Go và được phân phối theo giấy phép Apache 2.0.
Trong số các thành phần đang được phát triển, có thể lưu ý:
- Rekor: triển khai sổ đăng ký để lưu trữ siêu dữ liệu được ký kỹ thuật số phản ánh thông tin về các dự án. Để đảm bảo tính toàn vẹn và bảo vệ chống lại sự biến dạng dữ liệu, cấu trúc cây "Tree Merkle" được sử dụng từ trước, trong đó mỗi nhánh xác minh tất cả các luồng và các thành phần cơ bản, nhờ vào một hàm băm.
- Fulcio (SigStore WebPKI) một hệ thống để tạo cơ quan cấp chứng chỉ (Root-CA) cấp các chứng chỉ tồn tại trong thời gian ngắn dựa trên các email được xác thực thông qua OpenID Connect. Thời gian tồn tại của chứng chỉ là 20 phút, trong thời gian này nhà phát triển phải có thời gian để tạo chữ ký số (nếu trong tương lai chứng chỉ rơi vào tay kẻ tấn công thì nó sẽ hết hạn).
- Сosign (Container Signing) một bộ công cụ để tạo chữ ký trong container, xác minh chữ ký và đặt các thùng chứa đã ký vào kho lưu trữ tuân thủ OCI (Open Container Initiative).
Cuối cùng, nếu bạn quan tâm muốn biết thêm về dự án này, bạn có thể tham khảo thông tin chi tiết Trong liên kết sau đây.