Red Hat과 Google은 암호화 코드 확인 서비스인 Sigstore를 출시했습니다.

Red Hat과 Google은 Purdue University와 함께 디지털 서명을 사용하여 소프트웨어를 확인하고 진위 확인을 위한 공개 로그(투명성 로그)를 유지 관리하는 도구와 서비스를 만드는 것을 목표로 하는 Sigstore 프로젝트를 설립했습니다. 이 프로젝트는 비영리 단체인 Linux Foundation의 후원으로 개발될 예정입니다.

제안된 프로젝트는 소프트웨어 배포 채널의 보안을 개선하고 소프트웨어 구성 요소 및 종속성(공급망)을 대체하려는 공격으로부터 보호합니다. 오픈 소스 소프트웨어의 주요 보안 문제 중 하나는 프로그램 소스 확인과 빌드 프로세스 확인이 어렵다는 것입니다. 예를 들어, 대부분의 프로젝트는 릴리스의 무결성을 확인하기 위해 해시를 사용하지만, 인증에 필요한 정보가 보호되지 않은 시스템과 공유 코드 저장소에 저장되는 경우가 많습니다. 그 결과 공격자가 확인에 필요한 파일을 손상시키고 악의적인 변경을 도입할 수 있습니다. 의혹을 제기하지 않고.

키 관리, 공개 키 배포 및 손상된 키 취소의 어려움으로 인해 릴리스 배포 시 디지털 서명을 사용하는 프로젝트는 소수에 불과합니다. 검증이 합리적이려면 공개 키와 체크섬을 배포하기 위한 신뢰할 수 있고 안전한 프로세스를 구성하는 것도 필요합니다. 디지털 서명이 있어도 많은 사용자는 확인 프로세스를 연구하고 어떤 키가 신뢰할 수 있는지 이해하는 데 시간을 투자해야 하기 때문에 확인을 무시합니다.

Sigstore는 코드에 대한 Let's Encrypt와 동일하며 디지털 서명 코드용 인증서와 확인 자동화용 도구를 제공합니다. Sigstore를 사용하면 개발자는 릴리스 파일, 컨테이너 이미지, 매니페스트 및 실행 파일과 같은 애플리케이션 관련 아티팩트에 디지털 서명을 할 수 있습니다. Sigstore의 특별한 특징은 서명에 사용된 자료가 검증 및 감사에 사용될 수 있는 변조 방지 공개 로그에 반영된다는 것입니다.

영구 키 대신 Sigstore는 OpenID Connect 공급자가 확인한 자격 증명을 기반으로 생성된 단기 임시 키를 사용합니다(디지털 서명용 키를 생성할 때 개발자는 이메일에 연결된 OpenID 공급자를 통해 자신을 식별합니다). 키의 진위성은 공개 중앙 집중식 로그를 사용하여 확인됩니다. 이를 통해 서명 작성자가 자신이 주장하는 사람이 정확히 누구인지, 서명이 과거 릴리스를 담당했던 동일한 참가자에 의해 형성되었는지 확인할 수 있습니다.

Sigstore는 이미 사용할 수 있는 기성 서비스와 유사한 서비스를 자체 장비에 배포할 수 있는 도구 세트를 모두 제공합니다. 이 서비스는 모든 개발자와 소프트웨어 제공업체에게 무료로 제공되며 중립 플랫폼인 Linux Foundation에 배포됩니다. 서비스의 모든 구성 요소는 오픈 소스이며 Go로 작성되었으며 Apache 2.0 라이선스에 따라 배포됩니다.

개발된 구성 요소 중 다음을 확인할 수 있습니다.

• Rekor는 프로젝트에 대한 정보를 반영하는 디지털 서명된 메타데이터를 저장하기 위한 로그 구현입니다. 무결성을 보장하고 사후 데이터 손상을 방지하기 위해 각 분기가 공동(트리형) 해싱 덕분에 모든 기본 분기와 노드를 확인하는 트리형 구조 "머클 트리"가 사용됩니다. 최종 해시를 가지면 사용자는 전체 작업 내역의 정확성과 데이터베이스 과거 상태의 정확성을 확인할 수 있습니다(데이터베이스의 새 상태에 대한 루트 확인 해시는 과거 상태를 고려하여 계산됨). ). 새 레코드를 확인하고 추가하기 위해 Restful API와 CLI 인터페이스가 제공됩니다.
• Fulcio(SigStore WebPKI)는 OpenID Connect를 통해 인증된 이메일을 기반으로 단기 인증서를 발급하는 인증 기관(Root-CA)을 생성하기 위한 시스템입니다. 인증서의 수명은 20분이며, 이 기간 동안 개발자는 디지털 서명을 생성할 시간을 가져야 합니다. 인증서가 나중에 공격자의 손에 들어가면 이미 만료된 것입니다.
• Сosign(컨테이너 서명)은 컨테이너 서명을 생성하고, 서명을 확인하고, OCI(Open Container Initiative)와 호환되는 저장소에 서명된 컨테이너를 배치하기 위한 툴킷입니다.

출처 : opennet.ru