Red Hat ja Google asutasid koos Purdue ülikooliga projekti Sigstore, mille eesmärk oli luua tööriistu ja teenuseid tarkvara kontrollimiseks digitaalallkirjade abil ning autentsuse kinnitamiseks avaliku logi (läbipaistvuslogi) pidamiseks. Projekti arendatakse mittetulundusühingu Linux Foundation egiidi all.
Kavandatav projekt parandab tarkvara turustuskanalite turvalisust ja kaitseb tarkvarakomponentide ja sõltuvuste (tarneahela) asendamisele suunatud rünnete eest. Üks peamisi turbeprobleeme avatud lähtekoodiga tarkvaras on raskused programmi allika kontrollimisel ja koostamisprotsessi kontrollimisel. Näiteks kasutatakse enamikes projektides väljalaske terviklikkuse kontrollimiseks räsi, kuid sageli hoitakse autentimiseks vajalikku teavet kaitsmata süsteemides ja jagatud koodihoidlates, mille tulemusena võivad ründajad ohustada kontrollimiseks vajalikke faile ja teha pahatahtlikke muudatusi. kahtlust tekitamata.
Ainult väike osa projektidest kasutab digitaalallkirju väljaannete levitamisel võtmete haldamise, avalike võtmete levitamise ja ohustatud võtmete tühistamise raskuste tõttu. Selleks, et kontrollimine oleks mõttekas, on vaja korraldada ka usaldusväärne ja turvaline avalike võtmete ja kontrollsummade levitamise protsess. Isegi digitaalallkirja puhul ignoreerivad paljud kasutajad kinnitamist, kuna peavad kulutama aega kinnitamisprotsessi uurimisele ja mõistma, milline võti on usaldusväärne.
Sigstore'i reklaamitakse kui koodi Let's Encrypt ekvivalenti, mis pakub sertifikaate koodi digitaalseks allkirjastamiseks ja tööriistu kontrollimise automatiseerimiseks. Sigstore'iga saavad arendajad digitaalselt allkirjastada rakendustega seotud artefakte, nagu väljalaskefailid, konteineri kujutised, manifestid ja käivitatavad failid. Sigstore'i eripäraks on see, et allkirjastamiseks kasutatud materjal kajastub võltsimiskindlas avalikus logis, mida saab kasutada kontrollimiseks ja auditeerimiseks.
Püsivõtmete asemel kasutab Sigstore lühiajalisi lühiajalisi võtmeid, mis genereeritakse OpenID Connecti pakkujate kinnitatud mandaatide põhjal (digitaalallkirja võtmete genereerimise ajal tuvastab arendaja end meiliga lingitud OpenID pakkuja kaudu). Võtmete ehtsust kontrollitakse avaliku tsentraliseeritud logi abil, mis võimaldab kontrollida, et allkirja autor on täpselt see, kes ta väidab end olevat ja allkirja andis sama osaleja, kes vastutas varasemate väljaannete eest.
Sigstore pakub nii valmisteenust, mida saate juba kasutada, kui ka tööriistakomplekti, mis võimaldavad teil sarnaseid teenuseid oma seadmes juurutada. Teenus on kõigile arendajatele ja tarkvarapakkujatele tasuta ning seda kasutatakse neutraalsel platvormil - Linux Foundationil. Kõik teenuse komponendid on avatud lähtekoodiga, kirjutatud Go-s ja levitatud Apache 2.0 litsentsi all.
Väljatöötatud komponentide hulgas võime märkida:
- Rekor on logirakendus projektide kohta käivat teavet kajastavate digiallkirjastatud metaandmete salvestamiseks. Terviklikkuse tagamiseks ja andmete tagantjärele riknemise eest kaitsmiseks kasutatakse puulaadset struktuuri “Merkle Tree”, milles iga haru kontrollib tänu ühisele (puulaadsele) räsimisele kõik aluseks olevad harud ja sõlmed. Lõpliku räsi olemasolul saab kasutaja kontrollida nii kogu toimingute ajaloo õigsust kui ka andmebaasi varasemate olekute õigsust (andmebaasi uue oleku juurkontrolli räsi arvutamisel võetakse arvesse varasemat olekut ). Uute kirjete kontrollimiseks ja lisamiseks pakutakse Restful API-t ja kliliidest.
- Fulcio (SigStore WebPKI) on süsteem sertifitseerimisasutuste (Root-CA) loomiseks, mis väljastavad lühiajalisi sertifikaate, mis põhinevad OpenID Connecti kaudu autentitud meilidel. Sertifikaadi eluiga on 20 minutit, mille jooksul peab arendajal olema aega digiallkirja genereerimiseks (kui sertifikaat hiljem ründaja kätte satub, on see juba aegunud).
- Сosign (konteinerite allkirjastamine) on tööriistakomplekt konteinerite jaoks allkirjade genereerimiseks, allkirjade kontrollimiseks ja allkirjastatud konteinerite paigutamiseks hoidlatesse, mis ühilduvad OCI-ga (Open Container Initiative).
Allikas: opennet.ru