プロホスト > ブログ > インターネットニュース > Red Hat と Google は、暗号コード検証サービスである Sigstore を導入しました

Red Hat と Google は、暗号コード検証サービスである Sigstore を導入しました

Red Hat と Google は、パデュー大学と共同で、デジタル署名を使用してソフトウェアを検証し、信頼性を確認する公開ログ (透明性ログ) を維持するためのツールとサービスの作成を目的とした Sigstore プロジェクトを設立しました。 このプロジェクトは、非営利団体 Linux Foundation の後援の下で開発されます。

提案されたプロジェクトは、ソフトウェア流通チャネルのセキュリティを向上させ、ソフトウェア コンポーネントと依存関係 (サプライ チェーン) の置き換えを目的とした攻撃から保護します。 オープンソース ソフトウェアにおける主要なセキュリティ問題の XNUMX つは、プログラムのソースを検証し、ビルド プロセスを検証することが難しいことです。 たとえば、ほとんどのプロジェクトはリリースの整合性を検証するためにハッシュを使用しますが、多くの場合、認証に必要な情報は保護されていないシステムや共有コード リポジトリに保存されており、その結果、攻撃者が検証に必要なファイルを侵害し、悪意のある変更を導入する可能性があります。疑惑を抱かせることなく。

キーの管理、公開キーの配布、侵害されたキーの取り消しが難しいため、リリースを配布するときにデジタル署名を使用するプロジェクトはごく一部です。 検証を意味のあるものにするためには、公開キーとチェックサムを配布するための信頼性が高く安全なプロセスを組織することも必要です。 デジタル署名があっても、多くのユーザーは検証プロセスを研究し、どの鍵が信頼できるかを理解するのに時間を費やす必要があるため、検証を無視します。

Sigstore はコードの Let's Encrypt に相当するものとして宣伝されており、コードにデジタル署名するための証明書と検証を自動化するツールを提供します。 Sigstore を使用すると、開発者はリリース ファイル、コンテナ イメージ、マニフェスト、実行可能ファイルなどのアプリケーション関連の成果物にデジタル署名できます。 Sigstore の特別な機能は、署名に使用された資料が改ざん防止された公開ログに反映され、検証と監査に使用できることです。

Sigstore は、永久キーの代わりに、OpenID Connect プロバイダーによって確認された資格情報に基づいて生成される、有効期間の短い一時的なキーを使用します (デジタル署名用のキーを生成する際、開発者は、電子メールにリンクされた OpenID プロバイダーを通じて自分自身を識別します)。 キーの信頼性は、公開された集中ログを使用して検証されます。これにより、署名の作成者が本人であること、および署名が過去のリリースに責任を負った同じ参加者によって作成されたことを検証できます。

Sigstore は、すでに使用できる既製のサービスと、同様のサービスを独自の機器に展開できるツール セットの両方を提供します。 このサービスはすべての開発者とソフトウェア プロバイダーにとって無料であり、中立的なプラットフォームである Linux Foundation 上に展開されます。 サービスのすべてのコンポーネントはオープン ソースであり、Go で記述され、Apache 2.0 ライセンスに基づいて配布されます。

開発されたコンポーネントの中で注目できるのは次のとおりです。

  • Rekor は、プロジェクトに関する情報を反映するデジタル署名されたメタデータを保存するためのログ実装です。 整合性を確保し、事後のデータ破損を防ぐために、ツリー状の構造「マークル ツリー」が使用されます。各ブランチでは、結合 (ツリー状) ハッシュによって、基礎となるすべてのブランチとノードが検証されます。 最終的なハッシュを取得すると、ユーザーは操作履歴全体の正確さと、データベースの過去の状態の正確さを検証できます (データベースの新しい状態のルート検証ハッシュは、過去の状態を考慮して計算されます)。 )。 新しいレコードを確認して追加するために、Restful API と cli インターフェイスが提供されています。
  • Fulcio (SigStore WebPKI) は、OpenID Connect 経由で認証された電子メールに基づいて有効期間の短い証明書を発行する認証局 (ルート CA) を作成するためのシステムです。 証明書の有効期間は 20 分で、この間に開発者はデジタル署名を生成する時間を確保する必要があります (証明書が後で攻撃者の手に渡った場合、証明書はすでに期限切れになります)。
  • Сosign (Container Signing) は、コンテナの署名を生成し、署名を検証し、署名されたコンテナを OCI (Open Container Initiative) と互換性のあるリポジトリに配置するためのツールキットです。

出所: オープンネット.ru

コメントを追加します