Red Hat və Google, Purdue Universiteti ilə birlikdə rəqəmsal imzalardan istifadə edərək proqram təminatının yoxlanması üçün alətlər və xidmətlər yaratmaq və həqiqiliyi təsdiqləmək üçün ictimai jurnalı (şəffaflıq jurnalı) saxlamaq məqsədi daşıyan Sigstore layihəsini təsis ediblər. Layihə Linux Foundation qeyri-kommersiya təşkilatının himayəsi altında hazırlanacaq.
Təklif olunan layihə proqram təminatının paylanması kanallarının təhlükəsizliyini yaxşılaşdıracaq və proqram komponentlərinin və asılılıqların (təchizat zənciri) dəyişdirilməsinə yönəlmiş hücumlardan qoruyacaq. Açıq mənbəli proqram təminatının əsas təhlükəsizlik problemlərindən biri proqramın mənbəyini yoxlamaq və qurma prosesini yoxlamaq çətinliyidir. Məsələn, əksər layihələr buraxılışın bütövlüyünü yoxlamaq üçün heşlərdən istifadə edir, lakin tez-tez autentifikasiya üçün lazım olan məlumat qorunmayan sistemlərdə və paylaşılan kod anbarlarında saxlanılır, bunun nəticəsində təcavüzkarlar yoxlama üçün lazım olan faylları poza və zərərli dəyişikliklər edə bilərlər. şübhə doğurmadan.
Layihələrin yalnız kiçik bir hissəsi açarların idarə edilməsi, açıq açarların paylanması və pozulmuş açarların ləğvi ilə bağlı çətinliklərə görə buraxılışların paylanması zamanı rəqəmsal imzalardan istifadə edir. Doğrulamanın mənalı olması üçün açıq açarların və yoxlama məbləğlərinin paylanması üçün etibarlı və təhlükəsiz prosesi təşkil etmək də lazımdır. Rəqəmsal imza ilə belə, bir çox istifadəçi doğrulamağa məhəl qoymur, çünki onlar yoxlama prosesini öyrənmək və hansı açarın etibarlı olduğunu başa düşmək üçün vaxt sərf etməlidirlər.
Sigstore kodu rəqəmsal imzalamaq üçün sertifikatlar və yoxlamanın avtomatlaşdırılması üçün alətlər təqdim edən Let's Encrypt kodunun ekvivalenti kimi təqdim olunur. Sigstore ilə tərtibatçılar buraxılış faylları, konteyner şəkilləri, manifestlər və icra olunanlar kimi proqramla əlaqəli artefaktları rəqəmsal olaraq imzalaya bilərlər. Sigstore-un özəl xüsusiyyəti ondan ibarətdir ki, imza üçün istifadə olunan material yoxlama və audit üçün istifadə oluna bilən, saxtakarlığa qarşı ictimai jurnalda əks olunur.
Daimi açarlar əvəzinə, Sigstore qısamüddətli efemer açarlardan istifadə edir, bunlar OpenID Connect provayderləri tərəfindən təsdiq edilmiş etimadnamələr əsasında yaradılır (rəqəmsal imza üçün açarların yaradılması zamanı tərtibatçı elektron poçtla əlaqəli OpenID provayderi vasitəsilə özünü tanıdır). Açarların həqiqiliyi ictimai mərkəzləşdirilmiş jurnaldan istifadə etməklə yoxlanılır ki, bu da imza müəllifinin tam olaraq iddia etdiyi şəxs olduğunu və imzanın keçmiş buraxılışlara cavabdeh olan eyni iştirakçı tərəfindən formalaşdığını yoxlamağa imkan verir.
Sigstore həm artıq istifadə edə biləcəyiniz hazır xidmət, həm də öz avadanlığınızda oxşar xidmətləri yerləşdirməyə imkan verən alətlər dəsti təqdim edir. Xidmət bütün tərtibatçılar və proqram təminatçıları üçün pulsuzdur və neytral platformada - Linux Fondunda yerləşdirilir. Xidmətin bütün komponentləri Go-da yazılmış və Apache 2.0 lisenziyası altında paylanmış açıq mənbədir.
İnkişaf etmiş komponentlər arasında qeyd edə bilərik:
- Rekor, layihələr haqqında məlumatları əks etdirən rəqəmsal imzalanmış metadataların saxlanması üçün log tətbiqidir. Dürüstlüyü təmin etmək və faktdan sonra məlumatların korlanmasından qorunmaq üçün ağaca bənzər bir quruluş olan "Merkle Tree" istifadə olunur ki, burada hər bir budaq birgə (ağac kimi) hashing sayəsində bütün əsas budaqları və qovşaqları yoxlayır. Son hash-a sahib olmaqla istifadəçi bütün əməliyyatlar tarixinin düzgünlüyünü, həmçinin verilənlər bazasının keçmiş vəziyyətlərinin düzgünlüyünü yoxlaya bilər (verilənlər bazasının yeni vəziyyətinin kök yoxlama hashı keçmiş vəziyyət nəzərə alınmaqla hesablanır) ). Yeni qeydləri yoxlamaq və əlavə etmək üçün Restful API, həmçinin cli interfeysi təqdim olunur.
- Fulcio (SigStore WebPKI) OpenID Connect vasitəsilə təsdiqlənmiş e-poçt əsasında qısamüddətli sertifikatlar verən sertifikatlaşdırma orqanlarının (Root-CA) yaradılması üçün sistemdir. Sertifikatın istifadə müddəti 20 dəqiqədir, bu müddət ərzində tərtibatçının rəqəmsal imza yaratmaq üçün vaxtı olmalıdır (əgər sertifikat sonradan təcavüzkarın əlinə keçərsə, onun müddəti artıq başa çatacaq).
- Сosign (Container Signing) konteynerlər üçün imzaların yaradılması, imzaların yoxlanması və imzalanmış konteynerlərin OCI (Açıq Konteyner Təşəbbüsü) ilə uyğun olan repozitoriyalara yerləşdirilməsi üçün alətlər dəstidir.
Mənbə: opennet.ru