Обявена система за криптографска проверка Sigstore

Google обяви формирането на първите стабилни версии на компонентите, които формират проекта Sigstore, който е обявен за подходящ за създаване на работещи реализации. Sigstore разработва инструменти и услуги за проверка на софтуера с помощта на цифрови подписи и поддържане на публичен дневник, потвърждаващ автентичността на промените (дневник за прозрачност). Проектът се разработва под егидата на организацията с нестопанска цел Linux Foundation от Google, Red Hat, Cisco, vmWare, GitHub и HP Enterprise с участието на организацията OpenSSF (Open Source Security Foundation) и университета Purdue.

Sigstore може да се разглежда като Let's Encrypt за код, предоставящ сертификати за цифрово подписване на код и инструменти за автоматизиране на проверката. Със Sigstore разработчиците могат цифрово да подписват артефакти, свързани с приложения, като файлове за освобождаване, изображения на контейнери, манифести и изпълними файлове. Материалът за подпис се отразява в защитен от подправяне публичен дневник, който може да се използва за проверка и одит.

Вместо постоянни ключове, Sigstore използва краткотрайни ефимерни ключове, които се генерират въз основа на идентификационни данни, потвърдени от доставчиците на OpenID Connect (по време на генериране на ключовете, необходими за създаване на цифров подпис, разработчикът се идентифицира чрез доставчика на OpenID, свързан с електронна поща). Автентичността на ключовете се проверява с помощта на публичен централизиран дневник, което дава възможност да се провери дали авторът на подписа е точно този, за когото се представя, и подписът е генериран от същия участник, който е бил отговорен за предишни версии.

Готовността на Sigstore за внедряване се дължи на формирането на версии на два ключови компонента - Rekor 1.0 и Fulcio 1.0, чиито софтуерни интерфейси са обявени за стабилни и ще продължат да бъдат обратно съвместими. Компонентите на услугата са написани на Go и се разпространяват под лиценза Apache 2.0.

Компонентът Rekor съдържа реализация на журнал за съхраняване на цифрово подписани метаданни, отразяващи информация за проекти. За да се осигури интегритет и защита срещу повреда на данните след факта, се използва дървовидна структура на Merkle Tree, в която всеки клон проверява всички подлежащи клонове и възли чрез съвместно (дърво) хеширане. Имайки окончателния хеш, потребителят може да провери правилността на цялата история на операциите, както и коректността на миналите състояния на базата данни (хешът за проверка на корена на новото състояние на базата данни се изчислява, като се вземе предвид миналото състояние ). Осигурен е RESTful API за проверка и добавяне на нови записи, както и интерфейс на командния ред.

Компонентът Fulcio (SigStore WebPKI) включва система за създаване на сертифициращи органи (основни CA), които издават краткотрайни сертификати въз основа на имейл, удостоверен чрез OpenID Connect. Животът на сертификата е 20 минути, през които разработчикът трябва да има време да генерира цифров подпис (ако сертификатът по-късно попадне в ръцете на нападател, той вече ще бъде изтекъл). Освен това проектът разработва инструментариума Cosign (Подписване на контейнери), предназначен да генерира подписи за контейнери, да проверява подписи и да поставя подписани контейнери в хранилища, съвместими с OCI (Инициатива за отворени контейнери).

Внедряването на Sigstore позволява да се повиши сигурността на каналите за разпространение на програмата и да се защити срещу атаки, насочени към подмяна на библиотеки и зависимости (верига за доставки). Един от ключовите проблеми със сигурността в софтуера с отворен код е трудността при проверка на източника на програмата и проверка на процеса на изграждане. Например, повечето проекти използват хешове, за да проверят целостта на издание, но често информацията, необходима за удостоверяване, се съхранява на незащитени системи и в споделени хранилища на код, в резултат на което нападателите могат да компрометират необходимите за проверка файлове и да въведат злонамерени промени без да предизвиква подозрение.

Използването на цифрови подписи за проверка на освобождаването все още не е широко разпространено поради трудностите при управлението на ключове, разпространението на публични ключове и отмяната на компрометирани ключове. За да има смисъл проверката, е необходимо допълнително да се организира надежден и сигурен процес за разпространение на публични ключове и контролни суми. Дори и с цифров подпис, много потребители пренебрегват проверката, защото трябва да отделят време за изучаване на процеса на проверка и да разберат кой ключ е надежден. Проектът Sigstore се опитва да опрости и автоматизира тези процеси, като предоставя готово и доказано решение.

Източник: opennet.ru