Red Hat a Google spolu s Purdue University založily projekt Sigstore, zaměřený na vytváření nástrojů a služeb pro ověřování softwaru pomocí digitálních podpisů a udržování veřejného logu pro potvrzení pravosti (transparency log). Projekt bude vyvíjen pod záštitou neziskové organizace Linux Foundation.
Navrhovaný projekt zlepší bezpečnost softwarových distribučních kanálů a ochrání před útoky směřujícími k nahrazení softwarových komponent a závislostí (supply chain). Jedním z klíčových bezpečnostních problémů v softwaru s otevřeným zdrojovým kódem je obtížnost ověření zdroje programu a ověření procesu sestavení. Například většina projektů používá hash k ověření integrity vydání, ale často jsou informace potřebné pro autentizaci uloženy na nechráněných systémech a ve sdílených úložištích kódu, v důsledku čehož mohou útočníci kompromitovat soubory nezbytné pro ověření a zavést škodlivé změny. aniž by vyvolal podezření.
Pouze malá část projektů používá digitální podpisy při distribuci vydání kvůli potížím se správou klíčů, distribucí veřejných klíčů a odvoláním kompromitovaných klíčů. Aby mělo ověřování smysl, je také nutné zorganizovat spolehlivý a bezpečný proces distribuce veřejných klíčů a kontrolních součtů. Dokonce i s digitálním podpisem mnoho uživatelů ignoruje ověření, protože musí trávit čas studiem ověřovacího procesu a pochopením, který klíč je důvěryhodný.
Sigstore je nabízen jako ekvivalent Let's Encrypt pro kód, který poskytuje certifikáty pro digitální podepisování kódu a nástroje pro automatizaci ověřování. Pomocí Sigstore mohou vývojáři digitálně podepisovat artefakty související s aplikacemi, jako jsou soubory vydání, obrázky kontejnerů, manifesty a spustitelné soubory. Zvláštní funkcí Sigstore je, že materiál použitý k podepisování se odráží ve veřejném protokolu odolném proti neoprávněné manipulaci, který lze použít k ověření a auditu.
Místo trvalých klíčů používá Sigstore krátkodobé efemérní klíče, které jsou generovány na základě přihlašovacích údajů potvrzených poskytovateli OpenID Connect (v době generování klíčů pro digitální podpis se vývojář identifikuje prostřednictvím poskytovatele OpenID propojeného s e-mailem). Pravost klíčů se ověřuje pomocí veřejného centralizovaného protokolu, který umožňuje ověřit, že autor podpisu je přesně tím, za koho se vydává, a že podpis vytvořil stejný účastník, který byl zodpovědný za minulá vydání.
Sigstore poskytuje jak hotovou službu, kterou již můžete používat, tak sadu nástrojů, které vám umožní nasadit podobné služby na vašem vlastním zařízení. Služba je zdarma pro všechny vývojáře a poskytovatele softwaru a je nasazena na neutrální platformě – Linux Foundation. Všechny součásti služby jsou open source, napsané v Go a distribuované pod licencí Apache 2.0.
Mezi vyvinuté komponenty můžeme poznamenat:
- Rekor je logová implementace pro ukládání digitálně podepsaných metadat odrážejících informace o projektech. K zajištění integrity a následné ochraně proti poškození dat se používá stromová struktura „Merkle Tree“, ve které každá větev ověřuje všechny základní větve a uzly díky společnému (stromovému) hašování. Po konečném hashe může uživatel ověřit správnost celé historie operací a také správnost minulých stavů databáze (kořenový ověřovací hash nového stavu databáze se vypočítá s ohledem na minulý stav ). Pro ověření a přidání nových záznamů je k dispozici Restful API a také rozhraní cli.
- Fulcio (SigStore WebPKI) je systém pro vytváření certifikačních autorit (Root-CA), které vydávají krátkodobé certifikáty na základě e-mailu ověřeného přes OpenID Connect. Životnost certifikátu je 20 minut, během kterých musí mít vývojář čas na vygenerování digitálního podpisu (pokud se certifikát později dostane do rukou útočníka, jeho platnost již vyprší).
- Сosign (Container Signing) je sada nástrojů pro generování podpisů pro kontejnery, ověřování podpisů a umísťování podepsaných kontejnerů do úložišť kompatibilních s OCI (Open Container Initiative).
Zdroj: opennet.ru