Red Hat וגוגל הציגו את Sigstore, שירות לאימות קוד קריפטוגרפי

Red Hat וגוגל, יחד עם אוניברסיטת Purdue, הקימו את פרויקט Sigstore, שמטרתו ליצור כלים ושירותים לאימות תוכנה באמצעות חתימות דיגיטליות ושמירה על יומן ציבורי לאישור מקוריות (יומן שקיפות). הפרויקט יפותח בחסות העמותה ללא מטרות רווח Linux Foundation.

הפרויקט המוצע ישפר את אבטחת ערוצי הפצת התוכנה ויגן מפני התקפות שמטרתן החלפת רכיבי תוכנה ותלות (שרשרת אספקה). אחת מבעיות האבטחה המרכזיות בתוכנת קוד פתוח היא הקושי לאמת את מקור התוכנית ולאמת את תהליך הבנייה. לדוגמה, רוב הפרויקטים משתמשים ב-hash כדי לאמת את תקינות מהדורה, אך לעתים קרובות המידע הדרוש לאימות מאוחסן במערכות לא מוגנות ובמאגרי קוד משותפים, וכתוצאה מכך התוקפים יכולים לסכן את הקבצים הדרושים לאימות ולהכניס שינויים זדוניים מבלי לעורר חשד.

רק חלק קטן מהפרויקטים משתמש בחתימות דיגיטליות בעת הפצת מהדורות בשל הקשיים בניהול מפתחות, הפצת מפתחות ציבוריים וביטול מפתחות שנפגעו. על מנת שהאימות יהיה הגיוני, יש צורך גם לארגן תהליך אמין ומאובטח להפצת מפתחות ציבוריים וסיכומי בדיקה. אפילו עם חתימה דיגיטלית, משתמשים רבים מתעלמים מאימות מכיוון שהם צריכים להקדיש זמן ללימוד תהליך האימות ולהבין איזה מפתח אמין.

Sigstore נחשבת המקבילה ל-Let's Encrypt עבור קוד, ומספקת אישורים לחתימה דיגיטלית של קוד וכלים לאוטומציה של אימות. עם Sigstore, מפתחים יכולים לחתום דיגיטלית על חפצים הקשורים לאפליקציות כגון קבצי שחרור, תמונות מיכל, מניפסטים וקובצי הפעלה. תכונה מיוחדת של Sigstore היא שהחומר המשמש לחתימה בא לידי ביטוי ביומן ציבורי חסין חבלה שניתן להשתמש בו לאימות וביקורת.

במקום מפתחות קבועים, Sigstore משתמשת במפתחות ארעיים קצרי מועד, אשר נוצרים על סמך אישורים שאושרו על ידי ספקי OpenID Connect (בזמן יצירת מפתחות לחתימה דיגיטלית, המפתח מזדהה באמצעות ספק OpenID המקושר למייל). האותנטיות של המפתחות מאומתת באמצעות יומן מרוכז ציבורי, המאפשר לוודא שמחבר החתימה הוא בדיוק מי שהוא מתיימר להיות והחתימה נוצרה על ידי אותו משתתף שהיה אחראי לשחרורים בעבר.

Sigstore מספקת גם שירות מוכן שכבר תוכלו להשתמש בו וגם סט כלים המאפשרים לכם לפרוס שירותים דומים על הציוד שלכם. השירות חינמי לכל המפתחים וספקי התוכנה, והוא פרוס בפלטפורמה ניטרלית - קרן לינוקס. כל רכיבי השירות הינם בקוד פתוח, כתובים ב-Go ומופצים תחת רישיון Apache 2.0.

בין הרכיבים שפותחו נוכל לציין:

• Rekor הוא יישום יומן לאחסון מטא נתונים חתומים דיגיטלית המשקפים מידע על פרויקטים. כדי להבטיח שלמות ולהגן מפני שחיתות נתונים לאחר מעשה, נעשה שימוש במבנה דמוי עץ "Merkle Tree", שבו כל ענף מאמת את כל הענפים והצמתים הבסיסיים, הודות לגיבוב (דמוי עץ). לאחר ה-hash הסופי, המשתמש יכול לאמת את נכונות כל היסטוריית הפעולות, כמו גם את נכונות מצבי העבר של בסיס הנתונים (ה-hash אימות השורש של המצב החדש של בסיס הנתונים מחושב תוך התחשבות במצב העבר ). כדי לאמת ולהוסיף רשומות חדשות, מסופק Restful API, כמו גם ממשק cli.
• Fulcio (SigStore WebPKI) היא מערכת ליצירת רשויות אישורים (Root-CAs) המנפקות אישורים קצרי מועד המבוססים על אימייל המאומת באמצעות OpenID Connect. משך החיים של האישור הוא 20 דקות, במהלכן על המפתח להספיק להפיק חתימה דיגיטלית (אם האישור ייפול מאוחר יותר לידיו של תוקף, תוקף האישור כבר יפוג).
• Сosign (חתימת מיכל) היא ערכת כלים להפקת חתימות למכולות, אימות חתימות והצבת מכולות חתומות במאגרים התואמים ל-OCI (Open Container Initiative).

מקור: OpenNet.ru