Sigstore 암호화 코드 검증 시스템의 준비가 발표되었습니다.

Google은 작업 구현을 생성하는 데 적합하다고 선언된 Sigstore 프로젝트를 구성하는 구성 요소의 첫 번째 안정적인 릴리스 구성을 발표했습니다. Sigstore는 디지털 서명을 사용하고 변경 사항의 신뢰성을 확인하는 공개 로그(투명성 로그)를 유지 관리하는 소프트웨어 검증을 위한 도구 및 서비스를 개발합니다. 이 프로젝트는 Google, Red Hat, Cisco, vmWare, GitHub 및 HP Enterprise의 비영리 조직인 Linux Foundation의 후원으로 OpenSSF(Open Source Security Foundation) 조직과 Purdue University의 참여로 개발되고 있습니다.

Sigstore는 코드용 Let's Encrypt와 유사한 것으로 생각될 수 있으며, 코드에 대한 디지털 서명용 인증서와 확인 자동화용 도구를 제공합니다. Sigstore를 사용하면 개발자는 릴리스 파일, 컨테이너 이미지, 매니페스트 및 실행 파일과 같은 애플리케이션 관련 아티팩트에 디지털 서명을 할 수 있습니다. 서명 자료는 확인 및 감사에 사용할 수 있는 변조 방지 공개 로그에 반영됩니다.

영구 키 대신 Sigstore는 OpenID Connect 공급자가 확인한 자격 증명을 기반으로 생성된 단기 임시 키를 사용합니다. 디지털 서명을 생성하는 데 필요한 키를 생성할 때 개발자는 OpenID Connect 공급자에 연결된 OpenID 공급자를 통해 자신을 식별합니다. 이메일). 키의 신뢰성은 공개 중앙 집중식 로그를 사용하여 확인됩니다. 이를 통해 서명 작성자가 자신이 주장하는 사람이 정확히 누구인지, 서명이 과거 릴리스를 담당한 동일한 참가자에 의해 생성되었는지 확인할 수 있습니다.

Sigstore의 구현 준비 상태는 Rekor 1.0 및 Fulcio 1.0이라는 두 가지 주요 구성 요소의 릴리스 형성으로 인해 발생합니다. 이 구성 요소의 소프트웨어 인터페이스는 안정적이라고 선언되었으며 계속해서 이전 버전과 호환됩니다. 서비스 구성 요소는 Go로 작성되었으며 Apache 2.0 라이선스에 따라 배포됩니다.

Rekor 구성 요소에는 프로젝트에 대한 정보를 반영하는 디지털 서명된 메타데이터를 저장하기 위한 로그 구현이 포함되어 있습니다. 무결성을 보장하고 사후 데이터 손상을 방지하기 위해 각 분기가 조인트(트리) 해싱을 통해 모든 기본 분기와 노드를 확인하는 Merkle Tree 트리 구조가 사용됩니다. 최종 해시를 가지면 사용자는 전체 작업 내역의 정확성과 데이터베이스의 과거 상태의 정확성을 확인할 수 있습니다(데이터베이스의 새 상태에 대한 루트 확인 해시는 과거 상태를 고려하여 계산됨). ). 확인 및 새 레코드 추가를 위한 RESTful API와 명령줄 인터페이스가 제공됩니다.

Fulcio 구성 요소(SigStore WebPKI)에는 OpenID Connect를 통해 인증된 이메일을 기반으로 단기 인증서를 발급하는 인증 기관(루트 CA)을 생성하기 위한 시스템이 포함되어 있습니다. 인증서의 수명은 20분이며, 이 기간 동안 개발자는 디지털 서명을 생성할 시간을 가져야 합니다. 인증서가 나중에 공격자의 손에 들어가면 이미 만료된 것입니다. 또한 이 프로젝트는 컨테이너 서명을 생성하고, 서명을 확인하고, OCI(Open Container Initiative)와 호환되는 저장소에 서명된 컨테이너를 배치하도록 설계된 Cosign(컨테이너 서명) 툴킷을 개발 중입니다.

Sigstore를 구현하면 프로그램 배포 채널의 보안을 강화하고 라이브러리 및 종속성(공급망)을 대체하려는 공격으로부터 보호할 수 있습니다. 오픈 소스 소프트웨어의 주요 보안 문제 중 하나는 프로그램 소스 확인과 빌드 프로세스 확인이 어렵다는 것입니다. 예를 들어, 대부분의 프로젝트는 릴리스의 무결성을 확인하기 위해 해시를 사용하지만 인증에 필요한 정보가 보호되지 않은 시스템과 공유 코드 저장소에 저장되는 경우가 많습니다. 그 결과 공격자가 확인에 필요한 파일을 손상시키고 악의적인 변경을 도입할 수 있습니다. 의혹을 제기하지 않고.

키 관리, 공개 키 배포, 손상된 키 취소의 어려움으로 인해 릴리스 확인을 위한 디지털 서명의 사용이 아직 널리 보급되지 않았습니다. 검증이 합리적이려면 공개 키와 체크섬을 배포하기 위한 신뢰할 수 있고 안전한 프로세스를 구성하는 것이 추가로 필요합니다. 디지털 서명이 있어도 많은 사용자는 확인 프로세스를 배우고 어떤 키가 신뢰할 수 있는지 이해하는 데 시간을 투자해야 하기 때문에 확인을 무시합니다. Sigstore 프로젝트는 기성품 및 입증된 솔루션을 제공하여 이러한 프로세스를 단순화하고 자동화하려고 시도합니다.

출처 : opennet.ru