红帽和谷歌以及普渡大学最近宣布成立Sigstore项目,谁的 目的是创建工具和服务以使用数字签名来验证软件 并维护公共透明度注册表。 该项目将在非营利组织Linux Foundation的主持下开发。
拟建项目 增强软件分发渠道的安全性并防御针对性攻击 替换软件组件和依赖项(供应链)。 开源软件中的关键安全问题之一是难以验证程序的源代码和验证构建过程。
例如: 验证版本的完整性, 大多数项目使用哈希, 但是,身份验证所需的信息通常存储在不受保护的系统中和共享的代码存储库中,这是攻击者可以妥协的结果,攻击者可以替换验证所必需的文件,而不会引起怀疑,这会带来恶意更改。
由于密钥管理的复杂性,只有少数项目使用数字签名来分发发行版, 公钥的分配和被破坏的密钥的撤销。 为了使验证有意义,您还需要组织一个可靠且安全的过程来分发公钥和校验和。 即使具有数字签名,许多用户仍会忽略验证,因为它需要花费一些时间来研究验证过程并了解哪个密钥是可信任的。
关于Sigstore
Sigstore被提升为“让我们加密”的模拟 对于代码,p提供数字代码签名证书和自动验证工具。 使用Sigstore,开发人员可以对与应用程序相关的工件进行数字签名,例如启动文件,容器映像,清单和可执行文件。 Sigstore的一个功能是,用于签名的材料会反映在公共记录中,以防止更改,该记录可用于验证和审核。
代替常数键, Sigstore使用短暂的临时密钥, 它们是根据OpenID Connect提供程序确认的凭据生成的(在生成数字签名的密钥时,将通过OpenID提供程序通过电子邮件链接识别开发人员)。 密钥的真实性根据集中的公共记录进行检查,从而使您可以确保签名的作者正好是他声称的身份,并且签名是由负责先前版本的同一参与者形成的。
Sigstore提供了即用型服务和一组工具,可让您在计算机上实施类似的服务。 该服务对所有软件开发商和供应商都是免费的,并且在中立平台Linux Foundation上实现。 该服务的所有组件都是开源的,用Go语言编写,并根据Apache 2.0许可进行分发。
在正在开发的组件中,应注意:
- Rekor:用于存储数字签名元数据的注册表的实现 反映有关项目的信息。 为了保证完整性并防止数据失真,可追溯使用“ Tree Merkle”树结构,其中的每个分支都通过哈希函数来验证所有线程和基础组件。
- Fulcio(SigStore WebPKI)一个用于创建证书颁发机构的系统 (Root-CA),该证书通过OpenID Connect根据经过身份验证的电子邮件颁发短期证书。 证书的有效期为20分钟,在此期间,开发人员必须有时间生成数字签名(如果将来证书落入攻击者的手中,证书将过期)。
- Сosign(容器签名)一套在容器中生成签名的工具,验证签名并将已签名的容器放在OCI(开放容器倡议)兼容的存储库中。
最后,如果您有兴趣了解有关该项目的更多信息,可以查阅详细信息。 在下面的链接中。