A Google bejelentette a működő implementációk létrehozására alkalmasnak nyilvánított Sigstore projektet alkotó komponensek első stabil kiadásainak megalakulását. A Sigstore eszközöket és szolgáltatásokat fejleszt szoftverellenőrzéshez digitális aláírással, valamint nyilvános napló vezetésével, amely megerősíti a változtatások hitelességét (átláthatósági napló). A projektet a Linux Foundation non-profit szervezet égisze alatt fejleszti a Google, a Red Hat, a Cisco, a vmWare, a GitHub és a HP Enterprise, az OpenSSF (Open Source Security Foundation) és a Purdue University közreműködésével.
A Sigstore úgy is felfogható, mint a Let's Encrypt for Code, amely tanúsítványokat biztosít a digitálisan aláíró kódhoz és eszközöket az ellenőrzés automatizálásához. A Sigstore segítségével a fejlesztők digitálisan aláírhatják az alkalmazásokhoz kapcsolódó melléktermékeket, például kiadási fájlokat, tárolóképeket, manifesteket és végrehajtható fájlokat. Az aláíráshoz felhasznált anyagot egy hamisításbiztos nyilvános napló tükrözi, amely ellenőrzésre és auditálásra használható.
Az állandó kulcsok helyett a Sigstore rövid élettartamú efemer kulcsokat használ, amelyeket az OpenID Connect szolgáltatók által ellenőrzött hitelesítő adatok alapján generálnak (a digitális aláírás létrehozásához szükséges kulcsok generálásakor a fejlesztő az OpenID szolgáltatón keresztül azonosítja magát e-mail kötéssel ). A kulcsok valódiságát egy nyilvános, központosított napló igazolja, amely lehetővé teszi, hogy megbizonyosodjon arról, hogy az aláírás szerzője pontosan az, akinek vallja magát, és az aláírást ugyanaz a résztvevő készítette, aki a korábbi kiadásokért volt felelős.
A Sigstore készenléte a megvalósításra annak köszönhető, hogy két kulcsfontosságú komponens – a Rekor 1.0 és a Fulcio 1.0 – kiadásai jöttek létre, amelyek programozási felületeit stabilnak nyilvánították, és ezentúl megtartják a visszamenőleges kompatibilitást. A szolgáltatás összetevői a Go programban vannak megírva, és az Apache 2.0 licenc alatt vannak terjesztve.
A Rekor komponens naplómegvalósítást tartalmaz a digitálisan aláírt metaadatok tárolására, amelyek tükrözik a projektekkel kapcsolatos információkat. Az integritás és az adatsérülés elleni védelem biztosítása érdekében Merkle Tree fastruktúrát használnak, amelyben minden egyes ág ellenőrzi az összes mögöttes ágat és csomópontot közös (fa) kivonatolás révén. A végső kivonat birtokában a felhasználó ellenőrizheti a teljes művelettörténet helyességét, valamint az adatbázis múltbeli állapotainak helyességét (az adatbázis új állapotának gyökérellenőrző kivonatát a múltbeli állapot figyelembevételével számítják ki ). Az új rekordok ellenőrzéséhez és hozzáadásához egy RESTful API, valamint egy parancssori felület áll rendelkezésre.
A Fulcio komponens (SigStore WebPKI) tartalmaz egy rendszert tanúsító hatóságok (root CA) létrehozására, amelyek rövid élettartamú tanúsítványokat bocsátanak ki az OpenID Connecten keresztül hitelesített e-mailek alapján. A tanúsítvány élettartama 20 perc, ezalatt a fejlesztőnek ideje kell, hogy legyen digitális aláírás generálására (ha a jövőben a tanúsítvány támadó kezébe kerül, már lejár). Ezen túlmenően a projekt kifejleszti a Cosign (Container Signing) eszközkészletet, amely a tárolók aláírásainak generálására, az aláírások ellenőrzésére és az aláírt tárolók OCI-val (Open Container Initiative) kompatibilis adattárakba helyezésére szolgál.
A Sigstore bevezetése lehetővé teszi a szoftverelosztási csatornák biztonságának növelését, valamint a könyvtárak és függőségek (ellátási lánc) helyettesítését célzó támadások elleni védelmet. A nyílt forráskódú szoftverek egyik kulcsfontosságú biztonsági problémája a program forrásának és az összeállítási folyamat ellenőrzésének nehézsége. Például a legtöbb projekt hash-eket használ egy kiadás sértetlenségének ellenőrzésére, de gyakran a hitelesítéshez szükséges információkat nem védett rendszereken és kóddal megosztott tárolókban tárolják, aminek eredményeként a támadók kompromittálás esetén lecserélhetik a szükséges fájlokat. ellenőrzést, és gyanút ébresztve rosszindulatú változtatásokat vezet be.
A digitális aláírások felhasználása kiadás-ellenőrzéshez a kulcskezelés, a nyilvános kulcsok elosztása és a feltört kulcsok visszavonása miatti nehézségek miatt még nem terjedt el széles körben. Ahhoz, hogy az ellenőrzésnek értelme legyen, emellett megbízható és biztonságos folyamatot kell megszervezni a nyilvános kulcsok és ellenőrző összegek elosztására. Sok felhasználó még digitális aláírás esetén is figyelmen kívül hagyja az ellenőrzést, mert időbe telik, amíg megtanulják az ellenőrzési folyamatot, és megértik, melyik kulcs a megbízható. A Sigstore projekt ezeket a folyamatokat próbálja egyszerűsíteni és automatizálni egy kész és bevált megoldással.
Forrás: opennet.ru