Google は、Sigstore プロジェクトを構成するコンポーネントの最初の安定リリースの形成を発表しました。これは、実用的な実装の作成に適していると宣言されています。 Sigstore は、デジタル署名を使用してソフトウェアを検証し、変更の信頼性を確認する公開ログ (透明性ログ) を維持するためのツールとサービスを開発しています。このプロジェクトは、Google、Red Hat、Cisco、vmWare、GitHub、HP Enterprise による非営利組織 Linux Foundation の後援の下、OpenSSF (Open Source Security Foundation) 組織とパデュー大学の参加のもとで開発されています。
Sigstore はコードの Let's Encrypt に類似したものと考えることができ、コードにデジタル署名するための証明書と検証を自動化するツールを提供します。 Sigstore を使用すると、開発者はリリース ファイル、コンテナ イメージ、マニフェスト、実行可能ファイルなどのアプリケーション関連の成果物にデジタル署名できます。署名内容は、検証と監査に使用できる改ざん防止公開ログに反映されます。
Sigstore は、永久キーの代わりに、OpenID Connect プロバイダーによって確認された資格情報に基づいて生成される、有効期間の短い一時的なキーを使用します (デジタル署名の作成に必要なキーの生成時に、開発者は、ネットワークにリンクされている OpenID プロバイダーを通じて自分自身を識別します)。 Eメール)。キーの信頼性は、公開された集中ログを使用して検証されます。これにより、署名の作成者が本人であること、および署名が過去のリリースに責任を負った同じ参加者によって生成されたことを検証できます。
Sigstore の実装準備は、Rekor 1.0 と Fulcio 1.0 という 2.0 つの主要コンポーネントのリリースの形成によるもので、これらのソフトウェア インターフェイスは安定していると宣言されており、下位互換性が継続されます。サービス コンポーネントは Go で作成され、Apache XNUMX ライセンスに基づいて配布されます。
Rekor コンポーネントには、プロジェクトに関する情報を反映するデジタル署名されたメタデータを保存するためのログ実装が含まれています。整合性を確保し、事後のデータ破損を防ぐために、マークル ツリー ツリー構造が使用されます。この構造では、各ブランチが、結合 (ツリー) ハッシュを通じて基礎となるすべてのブランチとノードを検証します。最終的なハッシュを取得すると、ユーザーは操作履歴全体の正確さと、データベースの過去の状態の正確さを検証できます (データベースの新しい状態のルート検証ハッシュは、過去の状態を考慮して計算されます)。 )。検証と新しいレコードの追加のための RESTful API と、コマンド ライン インターフェイスが提供されています。
Fulcio コンポーネント (SigStore WebPKI) には、OpenID Connect を通じて認証された電子メールに基づいて有効期間の短い証明書を発行する認証局 (ルート CA) を作成するシステムが含まれています。証明書の有効期間は 20 分で、この間に開発者はデジタル署名を生成する時間を確保する必要があります (証明書が後で攻撃者の手に渡った場合、証明書はすでに期限切れになります)。さらに、このプロジェクトは、コンテナの署名を生成し、署名を検証し、署名されたコンテナを OCI (Open Container Initiative) と互換性のあるリポジトリに配置するように設計された Cosign (コンテナ署名) ツールキットを開発しています。
Sigstore の実装により、プログラム配布チャネルのセキュリティを強化し、ライブラリや依存関係 (サプライ チェーン) の置き換えを目的とした攻撃から保護することができます。オープンソース ソフトウェアにおける主要なセキュリティ問題の 1 つは、プログラムのソースを検証し、ビルド プロセスを検証することが難しいことです。たとえば、ほとんどのプロジェクトはリリースの整合性を検証するためにハッシュを使用しますが、多くの場合、認証に必要な情報は保護されていないシステムや共有コード リポジトリに保存されており、その結果、攻撃者が検証に必要なファイルを侵害し、悪意のある変更を導入する可能性があります。疑惑を抱かせることなく。
リリース検証のためのデジタル署名の使用は、キーの管理、公開キーの配布、侵害されたキーの無効化が難しいため、まだ普及していません。検証を意味のあるものにするためには、公開キーとチェックサムを配布するための信頼性が高く安全なプロセスを組織することもさらに必要です。デジタル署名があっても、検証プロセスを学習し、どの鍵が信頼できるかを理解するのに時間を費やす必要があるため、多くのユーザーは検証を無視します。 Sigstore プロジェクトは、既製の実証済みのソリューションを提供することで、これらのプロセスの簡素化と自動化を試みています。
出所: オープンネット.ru