Red Hat og Google, ásamt Purdue háskólanum, stofnuðu Sigstore verkefnið sem miðar að því að búa til verkfæri og þjónustu til að sannreyna hugbúnað með stafrænum undirskriftum og viðhalda opinberri annál til að staðfesta áreiðanleika (gagnsæisskrá). Verkefnið verður þróað á vegum sjálfseignarstofnunarinnar Linux Foundation.
Fyrirhugað verkefni mun bæta öryggi dreifingarrása hugbúnaðar og vernda gegn árásum sem miða að því að skipta um hugbúnaðarhluta og ósjálfstæði (birgðakeðju). Eitt af lykilöryggisvandamálum í opnum hugbúnaði er erfiðleikarnir við að sannreyna uppruna forritsins og staðfesta byggingarferlið. Til dæmis nota flest verkefni kjötkássa til að sannreyna heilleika útgáfu, en oft eru upplýsingarnar sem nauðsynlegar eru fyrir auðkenningu geymdar á óvarin kerfum og í sameiginlegum kóðageymslum, þar af leiðandi geta árásarmenn skaðað skrárnar sem nauðsynlegar eru til sannprófunar og innleitt skaðlegar breytingar án þess að vekja grunsemdir.
Aðeins lítill hluti verkefna notar stafrænar undirskriftir við að dreifa útgáfum vegna erfiðleika við að stjórna lyklum, dreifa opinberum lyklum og afturkalla lykla sem eru í hættu. Til þess að sannprófun sé skynsamleg er einnig nauðsynlegt að skipuleggja áreiðanlegt og öruggt ferli til að dreifa opinberum lyklum og eftirlitstölum. Jafnvel með stafræna undirskrift, hunsa margir notendur sannprófun vegna þess að þeir þurfa að eyða tíma í að kynna sér staðfestingarferlið og skilja hvaða lykill er áreiðanlegur.
Sigstore er kallað jafngildi Let's Encrypt fyrir kóða, sem veitir vottorð fyrir stafræna undirritun kóða og verkfæri til að gera sjálfvirkan sannprófun. Með Sigstore geta forritarar undirritað forritstengda gripi á stafrænan hátt eins og útgáfuskrár, gámamyndir, upplýsingaskrá og keyrslu. Sérstakur eiginleiki Sigstore er að efnið sem notað er til undirritunar endurspeglast í innbrotsvörnum opinberum annál sem hægt er að nota til sannprófunar og endurskoðunar.
Í stað varanlegra lykla notar Sigstore skammlífa skammlífa lykla, sem eru búnir til á grundvelli skilríkja sem hafa verið staðfest af OpenID Connect veitum (á þeim tíma sem lykla fyrir stafræna undirskrift er útbúinn auðkennir verktaki sig í gegnum OpenID veitu sem er tengdur við tölvupóst). Áreiðanleiki lyklanna er sannreyndur með því að nota opinberan miðlægan annál, sem gerir það mögulegt að sannreyna að höfundur undirskriftarinnar sé nákvæmlega sá sem hann segist vera og undirskriftin hafi verið mynduð af sama þátttakanda og bar ábyrgð á fyrri útgáfum.
Sigstore veitir bæði tilbúna þjónustu sem þú getur nú þegar notað og verkfærasett sem gerir þér kleift að nota svipaða þjónustu á eigin búnaði. Þjónustan er ókeypis fyrir alla þróunaraðila og hugbúnaðarframleiðendur og er sett á hlutlausan vettvang - Linux Foundation. Allir þættir þjónustunnar eru opnir, skrifaðir í Go og dreift undir Apache 2.0 leyfinu.
Meðal þróaðra íhluta getum við tekið eftir:
- Rekor er log útfærsla til að geyma stafrænt undirritað lýsigögn sem endurspegla upplýsingar um verkefni. Til að tryggja heilleika og vernda gegn spillingu gagna eftir á, er trjálíkt skipulag „Merkle Tree“ notað, þar sem hver grein sannreynir allar undirliggjandi greinar og hnúta, þökk sé sameiginlegum (trélíkum) kjötkássa. Með endanlegri kjötkássa getur notandinn sannreynt réttmæti allrar aðgerðasögunnar, sem og réttmæti fyrri ástands gagnagrunnsins (rótarstaðfestingarkássið í nýju ástandi gagnagrunnsins er reiknað með hliðsjón af fyrra ástandi ). Til að staðfesta og bæta við nýjum skrám er Restful API til staðar, auk cli viðmóts.
- Fulcio (SigStore WebPKI) er kerfi til að búa til vottunaryfirvöld (Root-CAs) sem gefa út skammtímavottorð byggð á tölvupósti sem er auðkenndur með OpenID Connect. Líftími vottorðsins er 20 mínútur, en þá verður verktaki að hafa tíma til að búa til stafræna undirskrift (ef vottorðið lendir síðar í höndum árásaraðila mun það þegar vera útrunnið).
- Сosign (Container Signing) er verkfærakista til að búa til undirskriftir fyrir gáma, sannprófa undirskriftir og setja undirritaða gáma í geymslur sem eru samhæfðar OCI (Open Container Initiative).
Heimild: opennet.ru