הוכרזה מוכנותה של מערכת אימות הקוד הקריפטוגרפי Sigstore

גוגל הודיעה על היווצרות המהדורות היציבות הראשונות של הרכיבים המרכיבים את פרויקט Sigstore, אשר הוכרז מתאים ליצירת יישומי עבודה. Sigstore מפתחת כלים ושירותים לאימות תוכנה באמצעות חתימות דיגיטליות וניהול יומן ציבורי המאשר את אותנטיות השינויים (יומן שקיפות). הפרויקט מפותח בחסות העמותה Linux Foundation על ידי גוגל, Red Hat, Cisco, vmWare, GitHub ו-HP Enterprise בהשתתפות ארגון OpenSSF (Open Source Security Foundation) ואוניברסיטת Purdue.

ניתן לחשוב על Sigstore בתור Let's Encrypt עבור קוד, המספקת אישורים לחתימה דיגיטלית של קוד וכלים לאוטומציה של אימות. עם Sigstore, מפתחים יכולים לחתום דיגיטלית על חפצים הקשורים לאפליקציות כגון קבצי שחרור, תמונות מיכל, מניפסטים וקובצי הפעלה. חומר החתימה בא לידי ביטוי ביומן ציבורי חסין חבלה שניתן להשתמש בו לאימות וביקורת.

במקום מפתחות קבועים, Sigstore משתמשת במפתחות ארעיים קצרי מועד, אשר נוצרים על סמך אישורים שאושרו על ידי ספקי OpenID Connect (בזמן יצירת המפתחות הדרושים ליצירת חתימה דיגיטלית, המפתח מזדהה באמצעות ספק OpenID המקושר ל- אימייל). האותנטיות של המפתחות מאומתת באמצעות יומן מרוכז ציבורי, המאפשר לוודא שכותב החתימה הוא בדיוק מי שהוא מתיימר להיות, והחתימה נוצרה על ידי אותו משתתף שהיה אחראי לשחרורים בעבר.

המוכנות של Sigstore ליישום נובעת מהיווצרות מהדורות של שני רכיבים מרכזיים - Rekor 1.0 ו-Fulcio 1.0, שממשקי התוכנה שלהם מוכרזים יציבים וימשיכו להיות תואמים לאחור. רכיבי השירות נכתבים ב-Go ומופצים תחת רישיון Apache 2.0.

רכיב Rekor מכיל יישום יומן לאחסון מטא נתונים חתומים דיגיטלית המשקפים מידע על פרויקטים. כדי להבטיח שלמות ולהגן מפני שחיתות נתונים לאחר מעשה, נעשה שימוש במבנה עץ Merkle Tree, שבו כל ענף מאמת את כל הענפים והצמתים הבסיסיים באמצעות גיבוב (עץ) משותף. לאחר ה-hash הסופי, המשתמש יכול לאמת את נכונות כל היסטוריית הפעולות, כמו גם את נכונות מצבי העבר של בסיס הנתונים (ה-hash אימות השורש של המצב החדש של בסיס הנתונים מחושב תוך התחשבות במצב העבר ). RESTful API מסופק כמו גם ממשק שורת פקודה לאימות והוספה של ערכים חדשים.

רכיב Fulcio (SigStore WebPKI) כולל מערכת ליצירת רשויות אישורים (CAs שורש) המנפיקות אישורים קצרי מועד המבוססים על אימייל המאומת באמצעות OpenID Connect. משך החיים של האישור הוא 20 דקות, במהלכן על המפתח להספיק להפיק חתימה דיגיטלית (אם האישור ייפול מאוחר יותר לידיו של תוקף, תוקף האישור כבר יפוג). בנוסף, הפרויקט מפתח את ערכת הכלים Cosign (חתימת מיכל), שנועדה ליצור חתימות למכולות, לאמת חתימות ולהציב מכולות חתומות במאגרים התואמים ל-OCI (Open Container Initiative).

היישום של Sigstore מאפשר להגביר את האבטחה של ערוצי הפצת התוכניות ולהגן מפני התקפות שמטרתן להחליף ספריות ותלות (שרשרת אספקה). אחת מבעיות האבטחה המרכזיות בתוכנת קוד פתוח היא הקושי לאמת את מקור התוכנית ולאמת את תהליך הבנייה. לדוגמה, רוב הפרויקטים משתמשים ב-hash כדי לאמת את תקינות מהדורה, אך לעתים קרובות המידע הדרוש לאימות מאוחסן במערכות לא מוגנות ובמאגרי קוד משותפים, וכתוצאה מכך התוקפים יכולים לסכן את הקבצים הדרושים לאימות ולהכניס שינויים זדוניים מבלי לעורר חשד.

השימוש בחתימות דיגיטליות לאימות שחרור טרם הפך לנפוץ עקב קשיים בניהול מפתחות, הפצת מפתחות ציבוריים וביטול מפתחות שנפגעו. על מנת שהאימות יהיה הגיוני, יש צורך בנוסף לארגן תהליך אמין ומאובטח להפצת מפתחות ציבוריים וסיכומי בדיקה. אפילו עם חתימה דיגיטלית, משתמשים רבים מתעלמים מאימות מכיוון שהם צריכים להשקיע זמן בלימוד תהליך האימות והבנה איזה מפתח אמין. פרויקט Sigstore מנסה לפשט ולהפוך תהליכים אלו לאוטומטיים על ידי מתן פתרון מוכן ומוכח.

מקור: OpenNet.ru