Red Hat è Google, inseme cù l'Università Purdue, anu fundatu u prughjettu Sigstore, destinatu à creà arnesi è servizii per a verificazione di u software utilizendu firma digitale è mantene un logu publicu per cunfirmà l'autenticità (registru di trasparenza). U prughjettu serà sviluppatu sottu l'auspici di l'urganizazione non lucrativa Linux Foundation.
U prughjettu prupostu hà da migliurà a sicurità di i canali di distribuzione di u software è prutegge contra l'attacchi destinati à rimpiazzà i cumpunenti di u software è e dipendenze (catena di supply). Unu di i prublemi di sicurità chjave in u software open source hè a difficultà di verificà a fonte di u prugramma è di verificà u prucessu di creazione. Per esempiu, a maiò parte di i prughjetti utilizanu hashes per verificà l'integrità di una liberazione, ma spessu l'infurmazioni necessarii per l'autentificazione sò almacenati in sistemi senza prutezzione è in repositori di codici spartuti, per via di quale l'attaccanti ponu cumprumette i fugliali necessarii per a verificazione è intruduce cambiamenti maliziusi. senza suscitare suspetti.
Solu una piccula proporzione di prughjetti utilizanu signature digitale quandu si distribuiscenu e versioni per via di e difficultà in a gestione di e chjavi, a distribuzione di e chjavi pubbliche è a revoca di e chjavi compromessi. Per chì a verificazione sia sensu, hè ancu necessariu urganizà un prucessu affidabile è sicuru per a distribuzione di chjavi publichi è checksums. Ancu cù una firma digitale, assai utilizatori ignoranu a verificazione perchè anu bisognu di passà tempu à studià u prucessu di verificazione è capisce quale chjave hè fiduciale.
Sigstore hè presentatu cum'è l'equivalente di Let's Encrypt per u codice, chì furnisce certificati per a firma digitale di codice è strumenti per automatizà a verificazione. Cù Sigstore, i sviluppatori ponu firmà digitale artefatti in relazione à l'applicazioni cum'è i fugliali di liberazione, l'imaghjini di u containeru, i manifesti è eseguibili. Una particularità di Sigstore hè chì u materiale utilizatu per a firma hè riflessu in un logu publicu inviolabile chì pò esse usatu per verificazione è auditing.
Invece di chjavi permanenti, Sigstore usa chjavi effimeri di corta durata, chì sò generati in basa di credenziali cunfirmati da i fornituri OpenID Connect (à u mumentu di a generazione di chjavi per una firma digitale, u sviluppatore si identifica per mezu di un fornitore OpenID ligatu à un email). L'autenticità di e chjavi hè verificata utilizendu un logu publicu centralizatu, chì permette di verificà chì l'autore di a firma hè esattamente quellu chì dice esse è a firma hè stata formata da u stessu participante chì era rispunsevuli di e versioni passate.
Sigstore furnisce à tempu un serviziu prontu chì pudete digià aduprà, è un inseme di strumenti chì vi permettenu di implementà servizii simili nantu à u vostru propiu equipamentu. U serviziu hè gratuitu per tutti i sviluppatori è i fornitori di software, è hè implementatu nantu à una piattaforma neutrale - a Fundazione Linux. Tutti i cumpunenti di u serviziu sò open source, scritti in Go è distribuitu sottu a licenza Apache 2.0.
Trà i cumpunenti sviluppati pudemu nutà:
- Rekor hè una implementazione di log per almacenà metadati firmati digitale chì riflette l'infurmazioni nantu à i prughjetti. Per assicurà l'integrità è prutegge contra a corruzzione di dati dopu à u fattu, hè aduprata una struttura di l'arburu "Merkle Tree", in quale ogni ramu verifica tutti i rami è i nodi sottostanti, grazia à l'hashing joint (arburu-like). Avè l'hash finale, l'utilizatore pò verificà a correttezza di tutta a storia di l'operazioni, è ancu a correttezza di i stati passati di a basa di dati (l'hash di verificazione radicali di u novu statu di a basa di dati hè calculatu tenendu in contu u statu passatu. ). Per verificà è aghjunghje novi registri, una API Restful hè furnita, è ancu una interfaccia cli.
- Fulcio (SigStore WebPKI) hè un sistema per creà autorità di certificazione (Root-CAs) chì emettenu certificati di corta durata basati nantu à e-mail autentificati via OpenID Connect. A vita di u certificatu hè di 20 minuti, durante i quali u sviluppatore deve avè u tempu di generà una firma digitale (se u certificatu dopu cascà in e mani di un attaccante, serà digià scadutu).
- Сosign (Container Signing) hè un toolkit per generà firme per i cuntenituri, verificà e firme è mette cuntenituri firmati in repositori cumpatibili cù OCI (Open Container Initiative).
Source: opennet.ru