紅帽和谷歌以及普渡大學最近宣布成立Sigstore項目,誰的 目的是創建工具和服務以使用數字簽名來驗證軟件 並維護公共透明度註冊表。 該項目將在非營利組織Linux Foundation的主持下開發。
擬建項目 增強軟件分發渠道的安全性並防止定向攻擊 替換軟件組件和依賴項(供應鏈)。 開源軟件中的關鍵安全問題之一是難以驗證程序的來源和驗證構建過程。
例如: 驗證版本的完整性, 大多數項目使用哈希, 但是,身份驗證所需的信息通常存儲在不受保護的系統中和共享的代碼存儲庫中,由於這些漏洞的折衷結果,攻擊者可以替換驗證所必需的文件,而不會引起懷疑,這會帶來惡意更改。
由於密鑰管理的複雜性,只有少數項目使用數字簽名來分發發行版, 公鑰的分配和被破壞的密鑰的撤銷。 為了使驗證有意義,您還需要組織一個可靠且安全的過程來分發公鑰和校驗和。 即使具有數字簽名,許多用戶仍會忽略驗證,因為它需要花費一些時間來研究驗證過程並了解哪個密鑰是可信任的。
關於Sigstore
Sigstore被提升為“讓我們加密”的模擬 對於代碼,p提供數字代碼簽名證書和自動驗證工具。 使用Sigstore,開發人員可以對與應用程序相關的工件進行數字簽名,例如啟動文件,容器映像,清單和可執行文件。 Sigstore的一個功能是,用於簽名的材料會反映在公共記錄中,以防止更改,該記錄可用於驗證和審核。
而不是常數鍵, Sigstore使用短暫的臨時密鑰, 它們是根據OpenID Connect提供程序確認的憑據生成的(在生成數字簽名的密鑰時,將通過OpenID提供程序通過電子郵件鏈接識別開發人員)。 密鑰的真實性根據集中的公共記錄進行檢查,從而使您可以確保簽名的作者正好是他聲稱的身份,並且簽名是由負責先前版本的同一參與者形成的。
Sigstore提供了即用型服務和一組工具,可讓您在計算機上實施類似的服務。 該服務對所有軟件開發商和供應商都是免費的,並且是在一個中立的平台Linux Foundation上實現的。 該服務的所有組件都是開源的,用Go語言編寫,並根據Apache 2.0許可進行分發。
在正在開發的組件中,應注意:
- Rekor:用於存儲數字簽名元數據的註冊表的實現 反映有關項目的信息。 為了保證完整性並防止數據失真,可追溯使用“ Tree Merkle”樹結構,其中的每個分支都通過哈希函數來驗證所有線程和基礎組件。
- Fulcio(SigStore WebPKI)一個用於創建證書頒發機構的系統 (Root-CA),該證書通過OpenID Connect根據經過身份驗證的電子郵件頒發短期證書。 證書的有效期為20分鐘,在此期間,開發人員必須有時間生成數字簽名(如果將來證書落入攻擊者的手中,證書將過期)。
- Сosign(容器簽名)一套在容器中生成簽名的工具,驗證簽名並將已簽名的容器放在OCI(開放容器倡議)兼容的存儲庫中。
最後,如果您有興趣了解有關該項目的更多信息,可以查閱詳細信息。 在下面的鏈接中。