Google oznámil vytvoření prvních stabilních verzí komponent tvořících projekt Sigstore, který je prohlášen za vhodný pro vytváření pracovních implementací. Sigstore vyvíjí nástroje a služby pro ověřování softwaru pomocí digitálních podpisů a udržování veřejného protokolu potvrzujícího pravost změn (protokol transparentnosti). Projekt je vyvíjen pod záštitou neziskové organizace Linux Foundation společností Google, Red Hat, Cisco, vmWare, GitHub a HP Enterprise za účasti OpenSSF (Open Source Security Foundation) a Purdue University.
Sigstore si lze představit jako Let's Encrypt pro kód, který poskytuje certifikáty pro digitální podepisování kódu a nástroje pro automatizaci ověřování. Pomocí Sigstore mohou vývojáři digitálně podepisovat artefakty související s aplikacemi, jako jsou soubory vydání, obrázky kontejnerů, manifesty a spustitelné soubory. Materiál použitý pro podepisování se odráží ve veřejném protokolu odolném proti neoprávněné manipulaci, který lze použít pro ověření a audit.
Místo trvalých klíčů používá Sigstore krátkodobé efemérní klíče, které jsou generovány na základě pověření ověřených poskytovateli OpenID Connect (v době generování klíčů nezbytných k vytvoření digitálního podpisu se vývojář identifikuje prostřednictvím poskytovatele OpenID s e-mailovou vazbou ). Pravost klíčů je ověřena veřejným centralizovaným protokolem, který vám umožňuje ujistit se, že autor podpisu je přesně ten, za koho se vydává, a že podpis vytvořil stejný účastník, který byl zodpovědný za minulá vydání.
Připravenost Sigstore na implementaci je dána vytvořením vydání dvou klíčových komponent - Rekor 1.0 a Fulcio 1.0, jejichž programovací rozhraní jsou deklarována jako stabilní a nadále si zachovávají zpětnou kompatibilitu. Komponenty služby jsou napsány v Go a distribuovány pod licencí Apache 2.0.
Komponenta Rekor obsahuje implementaci logu pro ukládání digitálně podepsaných metadat, která odrážejí informace o projektech. Pro zajištění integrity a ochrany proti poškození dat se používá stromová struktura Merkle Tree, ve které každá větev ověřuje všechny základní větve a uzly pomocí společného (stromového) hašování. Po konečném hashu může uživatel ověřit správnost celé historie operací a také správnost minulých stavů databáze (kořenový ověřovací hash nového stavu databáze se vypočítá s ohledem na minulý stav ). K dispozici je RESTful API pro ověřování a přidávání nových záznamů a také rozhraní příkazového řádku.
Komponenta Fulcio (SigStore WebPKI) obsahuje systém pro vytváření certifikačních autorit (kořenových CA), které vydávají krátkodobé certifikáty na základě e-mailu ověřeného přes OpenID Connect. Životnost certifikátu je 20 minut, během kterých musí mít vývojář čas na vygenerování digitálního podpisu (pokud se certifikát v budoucnu dostane do rukou útočníka, jeho platnost již vyprší). Kromě toho projekt vyvíjí sadu nástrojů Cosign (Container Signing), navrženou pro generování podpisů pro kontejnery, ověřování podpisů a umísťování podepsaných kontejnerů do úložišť kompatibilních s OCI (Open Container Initiative).
Zavedení Sigstore umožňuje zvýšit bezpečnost distribučních kanálů softwaru a chránit před útoky zaměřenými na nahrazování knihoven a závislostí (dodavatelský řetězec). Jedním z klíčových bezpečnostních problémů v softwaru s otevřeným zdrojovým kódem je obtížnost ověření zdroje programu a ověření procesu sestavení. Většina projektů například používá hash ke kontrole integrity vydání, ale často jsou informace nezbytné pro autentizaci uloženy na nechráněných systémech a ve sdílených úložištích s kódem, v důsledku čehož mohou útočníci v případě kompromitace nahradit soubory nezbytné pro ověření a, aniž by vzbudil podezření, zavést škodlivé změny.
Použití digitálních podpisů pro ověřování vydání se dosud nerozšířilo kvůli potížím se správou klíčů, distribucí veřejných klíčů a odvoláním kompromitovaných klíčů. Aby mělo ověřování smysl, je navíc nutné zorganizovat spolehlivý a bezpečný proces distribuce veřejných klíčů a kontrolních součtů. I s digitálním podpisem mnoho uživatelů ignoruje ověření, protože chvíli trvá, než se naučí ověřovací proces a pochopí, který klíč je důvěryhodný. Projekt Sigstore se snaží tyto procesy zjednodušit a automatizovat tím, že poskytuje hotové a osvědčené řešení.
Zdroj: opennet.ru