Red Hat ja Google perustivat yhdessä Purdue Universityn kanssa Sigstore-projektin, jonka tavoitteena oli luoda työkaluja ja palveluita ohjelmistojen varmentamiseen digitaalisten allekirjoitusten avulla ja ylläpitää julkista lokia aitouden vahvistamiseksi (avoimuusloki). Projektia kehitetään voittoa tavoittelemattoman Linux Foundationin alaisuudessa.
Ehdotettu hanke parantaa ohjelmistojen jakelukanavien turvallisuutta ja suojaa ohjelmistokomponenttien ja riippuvuuksien (toimitusketjun) korvaamiseen tähtääviltä hyökkäyksiltä. Yksi avoimen lähdekoodin ohjelmistojen tärkeimmistä tietoturvaongelmista on ohjelman lähteen ja koontiprosessin tarkistamisen vaikeus. Esimerkiksi useimmat projektit käyttävät tiivistettä julkaisun eheyden todentamiseen, mutta usein todentamiseen tarvittavat tiedot tallennetaan suojaamattomiin järjestelmiin ja jaettuihin koodivarastoihin, minkä seurauksena hyökkääjät voivat vaarantaa varmennukseen tarvittavat tiedostot ja tehdä haitallisia muutoksia. herättämättä epäilystä.
Vain pieni osa projekteista käyttää digitaalisia allekirjoituksia julkaisuja jaettaessa avainten hallinnan, julkisten avainten jakelun ja vaarantuneiden avainten perumisen vaikeuksien vuoksi. Jotta todentaminen olisi järkevää, on myös tarpeen järjestää luotettava ja turvallinen prosessi julkisten avainten ja tarkistussummien jakamiseen. Jopa digitaalisella allekirjoituksella monet käyttäjät jättävät vahvistuksen huomioimatta, koska heidän on käytettävä aikaa todennusprosessin tutkimiseen ja sen ymmärtämiseen, mikä avain on luotettava.
Sigstorea mainostetaan Let's Encrypt for code:n vastineeksi, sillä se tarjoaa varmenteita digitaalisesti allekirjoittavalle koodille ja työkaluja vahvistuksen automatisointiin. Sigstoren avulla kehittäjät voivat allekirjoittaa digitaalisesti sovelluksiin liittyviä artefakteja, kuten julkaisutiedostoja, säilökuvia, luetteloita ja suoritettavia tiedostoja. Sigstoren erityispiirteenä on, että allekirjoittamiseen käytetty materiaali heijastuu luvattomaan julkiseen lokiin, jota voidaan käyttää varmentamiseen ja auditointiin.
Pysyvien avainten sijasta Sigstore käyttää lyhytikäisiä lyhytaikaisia avaimia, jotka luodaan OpenID Connect -palveluntarjoajien vahvistamien tunnistetietojen perusteella (kun digitaalista allekirjoitusta varten avaimia luodaan, kehittäjä tunnistaa itsensä sähköpostiin linkitetyn OpenID-palveluntarjoajan kautta). Avainten aitous varmistetaan julkisella keskitetyllä lokilla, jonka avulla voidaan varmistaa, että allekirjoituksen tekijä on juuri se, joka hän väittää olevansa ja allekirjoituksen on tehnyt sama osallistuja, joka vastasi aiemmista julkaisuista.
Sigstore tarjoaa sekä valmiin palvelun, jota voit jo käyttää, että joukon työkaluja, joiden avulla voit ottaa käyttöön vastaavia palveluita omissa laitteissasi. Palvelu on ilmainen kaikille kehittäjille ja ohjelmistotoimittajille, ja se on otettu käyttöön neutraalilla alustalla - Linux Foundationilla. Kaikki palvelun komponentit ovat avoimen lähdekoodin, Go-kielellä kirjoitettuja ja Apache 2.0 -lisenssin alaisia.
Kehitetyistä komponenteista voimme huomata:
- Rekor on lokitoteutus projektitietojen digitaalisesti allekirjoitettujen metatietojen tallentamiseen. Eheyden varmistamiseksi ja jälkikäteen tapahtuvalta tietojen vioittumiselta suojaamiseksi käytetään puumaista "Merkle Tree" -rakennetta, jossa jokainen haara vahvistaa kaikki alla olevat oksat ja solmut yhteisen (puumaisen) hajautusjärjestelmän ansiosta. Lopullisella tiivisteellä käyttäjä voi varmistaa koko toimintahistorian oikeellisuuden sekä tietokannan aiempien tilojen oikeellisuuden (tietokannan uuden tilan juurivarmennushajaus lasketaan ottaen huomioon aiemman tilan ). Uusien tietueiden tarkistamista ja lisäämistä varten tarjotaan Restful-sovellusliittymä sekä kliininen käyttöliittymä.
- Fulcio (SigStore WebPKI) on järjestelmä, jolla luodaan varmenneviranomaisia (Root-CA), jotka myöntävät lyhytikäisiä varmenteita OpenID Connectin kautta todennettuun sähköpostiin. Varmenteen käyttöikä on 20 minuuttia, jonka aikana kehittäjällä tulee olla aikaa luoda digitaalinen allekirjoitus (jos varmenne myöhemmin joutuu hyökkääjän käsiin, se on jo vanhentunut).
- Сosign (Container Signing) on työkalupakki allekirjoitusten luomiseen säilöille, allekirjoitusten tarkistamiseen ja allekirjoitettujen säiliöiden sijoittamiseen OCI:n (Open Container Initiative) kanssa yhteensopiviin arkistoihin.
Lähde: opennet.ru