Red Hat et Google, en collaboration avec l'université Purdue, ont fondé le projet Sigstore, qui vise à créer des outils et des services de vérification logicielle par signature numérique et à tenir un registre public de transparence. Ce projet sera développé sous l'égide d'une organisation à but non lucratif. Linux Fondation.
Le projet proposé améliorera la sécurité des canaux de distribution de logiciels et les protégera contre les attaques visant à remplacer les composants et les dépendances (chaßne d'approvisionnement). L'un des principaux problÚmes de sécurité des logiciels open source réside dans la difficulté de vérifier le code source du programme et son processus de compilation. Par exemple, la plupart des projets utilisent des hachages pour vérifier l'intégrité d'une version, mais les informations nécessaires à cette vérification sont souvent stockées sur des systÚmes non protégés et dans des référentiels de code partagés. Ainsi, en cas de compromission, les attaquants peuvent remplacer les fichiers nécessaires à la vérification et, sans éveiller les soupçons, introduire des modifications malveillantes.
Seul un petit nombre de projets utilisent des signatures numĂ©riques lors de la distribution des versions, en raison de la complexitĂ© de la gestion des clĂ©s, de la distribution des clĂ©s publiques et de la rĂ©vocation des clĂ©s compromises. Pour que la vĂ©rification soit efficace, un processus fiable et sĂ©curisĂ© de distribution des clĂ©s publiques et des sommes de contrĂŽle est Ă©galement nĂ©cessaire. MĂȘme avec une signature numĂ©rique, de nombreux utilisateurs ignorent la vĂ©rification, car ils doivent consacrer du temps Ă l'apprentissage du processus de vĂ©rification et Ă la comprĂ©hension des clĂ©s fiables.
Sigstore se présente comme une version similaire de Let's Encrypt pour le code, fournissant des certificats pour certifier le code avec des signatures numériques et des outils pour automatiser la vérification. Avec Sigstore, les développeurs pourront générer des signatures numériques pour les artefacts liés aux applications, tels que les fichiers de version, les images de conteneur, les manifestes et les exécutables. Une particularité de Sigstore est que le matériel utilisé pour la signature est reflété dans un journal public inviolable, utilisable à des fins de vérification et d'audit.
Au lieu de clĂ©s permanentes, Sigstore utilise des clĂ©s Ă©phĂ©mĂšres Ă durĂ©e de vie limitĂ©e, gĂ©nĂ©rĂ©es Ă partir des informations d'identification vĂ©rifiĂ©es par les fournisseurs OpenID Connect (lors de la gĂ©nĂ©ration des clĂ©s pour une signature numĂ©rique, le dĂ©veloppeur s'identifie via un fournisseur OpenID associĂ© Ă une adresse e-mail). L'authenticitĂ© des clĂ©s est vĂ©rifiĂ©e grĂące Ă un journal centralisĂ© public, qui permet de vĂ©rifier que l'auteur de la signature est bien celui qu'il prĂ©tend ĂȘtre et que la signature a Ă©tĂ© gĂ©nĂ©rĂ©e par le mĂȘme participant que celui responsable des versions prĂ©cĂ©dentes.
Sigstore propose un service clé en main ainsi qu'un ensemble d'outils permettant de déployer des services similaires sur votre propre matériel. Ce service est gratuit pour tous les développeurs et éditeurs de logiciels et est déployé sur une plateforme neutre. Linux Fondation. Tous les composants du service sont open source, écrits en Go et distribués sous la licence Apache 2.0.
Parmi les composants en cours de développement, on peut noter :
- Rekor est une implĂ©mentation de journal permettant de stocker des mĂ©tadonnĂ©es signĂ©es numĂ©riquement reflĂ©tant les informations du projet. Pour garantir l'intĂ©gritĂ© des donnĂ©es et la protection contre toute corruption rĂ©troactive, une structure arborescente appelĂ©e « arbre de Merkle » est utilisĂ©e. Chaque branche vĂ©rifie toutes les branches et tous les nĆuds sous-jacents grĂące Ă un hachage conjoint (arborescent). Le hachage final permet de vĂ©rifier l'exactitude de l'historique complet des opĂ©rations, ainsi que celle des Ă©tats passĂ©s de la base de donnĂ©es (le hachage de vĂ©rification racine du nouvel Ă©tat de la base de donnĂ©es est calculĂ© en tenant compte de l'Ă©tat passĂ©). Une API RESTful et une interface CLI sont fournies pour la vĂ©rification et l'ajout de nouveaux enregistrements.
- Fulcio (SigStore WebPKI) est un systÚme permettant de créer des autorités de certification (Root-CA) qui émettent des certificats de courte durée basés sur des e-mails authentifiés via OpenID Connect. La durée de vie du certificat est de 20 minutes, ce qui permet au développeur de générer une signature numérique (si le certificat tombe entre les mains d'un intrus, il sera déjà expiré).
- Cosign (Container Signing) est un outil permettant de générer des signatures pour les conteneurs, de vérifier les signatures et de placer les conteneurs signés dans des référentiels compatibles OCI (Open Container Initiative).
Source: opennet.ru
