أسست شركة Red Hat وGoogle، بالتعاون مع جامعة بوردو، مشروع Sigstore، الذي يهدف إلى إنشاء أدوات وخدمات للتحقق من البرامج باستخدام التوقيعات الرقمية والاحتفاظ بسجل عام لتأكيد الأصالة (سجل الشفافية). سيتم تطوير المشروع تحت رعاية مؤسسة Linux Foundation غير الربحية.
سيعمل المشروع المقترح على تحسين أمان قنوات توزيع البرامج والحماية من الهجمات التي تهدف إلى استبدال مكونات البرامج وتبعياتها (سلسلة التوريد). إحدى المشكلات الأمنية الرئيسية في البرامج مفتوحة المصدر هي صعوبة التحقق من مصدر البرنامج والتحقق من عملية الإنشاء. على سبيل المثال، تستخدم معظم المشاريع التجزئة للتحقق من سلامة الإصدار، ولكن غالبًا ما يتم تخزين المعلومات اللازمة للمصادقة على أنظمة غير محمية وفي مستودعات التعليمات البرمجية المشتركة، ونتيجة لذلك يمكن للمهاجمين اختراق الملفات اللازمة للتحقق وإدخال تغييرات ضارة دون إثارة الشبهات.
تستخدم نسبة صغيرة فقط من المشاريع التوقيعات الرقمية عند توزيع الإصدارات بسبب الصعوبات في إدارة المفاتيح، وتوزيع المفاتيح العامة، وإلغاء المفاتيح المخترقة. لكي يكون التحقق منطقيًا، من الضروري أيضًا تنظيم عملية موثوقة وآمنة لتوزيع المفاتيح العامة والمجاميع الاختبارية. حتى مع التوقيع الرقمي، يتجاهل العديد من المستخدمين التحقق لأنهم بحاجة إلى قضاء بعض الوقت في دراسة عملية التحقق وفهم المفتاح الجدير بالثقة.
يتم وصف Sigstore على أنه يعادل Let's Encrypt للتعليمات البرمجية، حيث يوفر شهادات لتوقيع التعليمات البرمجية رقميًا وأدوات لأتمتة عملية التحقق. باستخدام Sigstore، يمكن للمطورين التوقيع رقميًا على العناصر المتعلقة بالتطبيقات مثل ملفات الإصدار، وصور الحاويات، والبيانات، والملفات التنفيذية. من الميزات الخاصة لـ Sigstore أن المواد المستخدمة للتوقيع تنعكس في سجل عام مضاد للتلاعب يمكن استخدامه للتحقق والتدقيق.
بدلاً من المفاتيح الدائمة، يستخدم Sigstore مفاتيح مؤقتة قصيرة العمر، والتي يتم إنشاؤها بناءً على بيانات الاعتماد المؤكدة من قبل موفري OpenID Connect (في وقت إنشاء مفاتيح للتوقيع الرقمي، يعرّف المطور نفسه من خلال موفر OpenID المرتبط ببريد إلكتروني). يتم التحقق من صحة المفاتيح باستخدام سجل مركزي عام، مما يجعل من الممكن التحقق من أن مؤلف التوقيع هو بالضبط من يدعي وأن التوقيع تم تشكيله من قبل نفس المشارك الذي كان مسؤولاً عن الإصدارات السابقة.
يوفر Sigstore خدمة جاهزة يمكنك استخدامها بالفعل، ومجموعة من الأدوات التي تسمح لك بنشر خدمات مماثلة على أجهزتك الخاصة. الخدمة مجانية لجميع المطورين ومقدمي البرامج، ويتم نشرها على منصة محايدة - Linux Foundation. جميع مكونات الخدمة مفتوحة المصدر ومكتوبة بلغة Go وموزعة بموجب ترخيص Apache 2.0.
من بين المكونات المطورة يمكننا ملاحظة:
- Rekor هو تطبيق سجل لتخزين البيانات الوصفية الموقعة رقميًا والتي تعكس معلومات حول المشاريع. لضمان السلامة والحماية من تلف البيانات بعد حدوثها، يتم استخدام بنية تشبه الشجرة "شجرة ميركل"، حيث يتحقق كل فرع من جميع الفروع والعقد الأساسية، وذلك بفضل التجزئة المشتركة (الشبيهة بالشجرة). بوجود التجزئة النهائية، يمكن للمستخدم التحقق من صحة سجل العمليات بالكامل، بالإضافة إلى صحة الحالات السابقة لقاعدة البيانات (يتم حساب تجزئة التحقق الجذري للحالة الجديدة لقاعدة البيانات مع مراعاة الحالة السابقة ). للتحقق من السجلات الجديدة وإضافتها، يتم توفير Restful API، بالإضافة إلى واجهة cli.
- Fulcio (SigStore WebPKI) هو نظام لإنشاء سلطات التصديق (Root-CAs) التي تصدر شهادات قصيرة العمر بناءً على البريد الإلكتروني الذي تمت مصادقته عبر OpenID Connect. يبلغ عمر الشهادة 20 دقيقة، ويجب أن يكون لدى المطور خلالها الوقت لإنشاء توقيع رقمي (إذا وقعت الشهادة لاحقًا في أيدي مهاجم، فستنتهي صلاحيتها بالفعل).
- Cosign (توقيع الحاويات) عبارة عن مجموعة أدوات لإنشاء التوقيعات للحاويات والتحقق من التوقيعات ووضع الحاويات الموقعة في مستودعات متوافقة مع OCI (مبادرة الحاوية المفتوحة).
المصدر: opennet.ru