Red Hat и Google воведоа Sigstore, услуга за проверка на криптографски код

Red Hat и Google, заедно со Универзитетот Пердју, го основаа проектот Sigstore, чија цел е создавање алатки и услуги за верификација на софтвер со користење на дигитални потписи и одржување јавен дневник за потврда на автентичноста (дневник на транспарентност). Проектот ќе се развива под покровителство на непрофитната организација Linux Foundation.

Предложениот проект ќе ја подобри безбедноста на каналите за дистрибуција на софтвер и ќе заштити од напади насочени кон замена на софтверските компоненти и зависности (синџир на снабдување). Еден од клучните безбедносни проблеми во софтверот со отворен код е тешкотијата да се потврди изворот на програмата и да се потврди процесот на градење. На пример, повеќето проекти користат хаш за да го потврдат интегритетот на изданието, но честопати информациите потребни за автентикација се зачувуваат на незаштитени системи и во складишта за споделени кодови, како резултат на што напаѓачите можат да ги компромитираат датотеките потребни за проверка и да воведат злонамерни промени без да предизвика сомнеж.

Само мал дел од проектите користат дигитални потписи кога дистрибуираат изданија поради тешкотиите во управувањето со клучевите, дистрибуцијата на јавните клучеви и отповикувањето на компромитирани клучеви. За да има смисла верификацијата, неопходно е и да се организира сигурен и безбеден процес за дистрибуција на јавни клучеви и контролни суми. Дури и со дигитален потпис, многу корисници ја игнорираат верификацијата затоа што треба да поминат време проучувајќи го процесот на верификација и да разберат кој клуч е доверлив.

Sigstore се смета за еквивалент на Let's Encrypt for code, обезбедувајќи сертификати за дигитално потпишување код и алатки за автоматизирање на верификацијата. Со Sigstore, програмерите можат дигитално да потпишуваат артефакти поврзани со апликации, како што се датотеките за објавување, слики од контејнери, манифестации и извршни датотеки. Посебна карактеристика на Sigstore е тоа што материјалот што се користи за потпишување се рефлектира во јавен дневник што е отпорен на манипулации што може да се користи за верификација и ревизија.

Наместо трајни клучеви, Sigstore користи краткотрајни ефемерни клучеви, кои се генерираат врз основа на ингеренциите потврдени од провајдерите на OpenID Connect (во моментот на генерирање клучеви за дигитален потпис, развивачот се идентификува преку провајдер OpenID поврзан со е-пошта). Автентичноста на клучевите се проверува со користење на јавен централизиран дневник, што овозможува да се потврди дека авторот на потписот е токму тој што тврди дека е и потписот е формиран од истиот учесник кој бил одговорен за минатите изданија.

Sigstore обезбедува и готова услуга што веќе можете да ја користите и збир на алатки кои ви дозволуваат да распоредите слични услуги на вашата сопствена опрема. Услугата е бесплатна за сите програмери и добавувачи на софтвер и е распоредена на неутрална платформа - Фондацијата Linux. Сите компоненти на услугата се со отворен код, напишани во Go и дистрибуирани под лиценцата Apache 2.0.

Меѓу развиените компоненти можеме да забележиме:

• Rekor е имплементација на дневник за складирање на дигитално потпишани метаподатоци што одразуваат информации за проекти. За да се обезбеди интегритет и да се заштити од оштетување на податоците после фактот, се користи структура слична на дрво „Дрвото Merkle“, во која секоја гранка ги проверува сите основни гранки и јазли, благодарение на заедничкото (дрво-како) хаширање. Имајќи го конечниот хаш, корисникот може да ја потврди точноста на целата историја на операции, како и исправноста на минатите состојби на базата на податоци (хашот за верификација на коренот на новата состојба на базата се пресметува земајќи ја предвид претходната состојба ). За проверка и додавање нови записи, обезбеден е Restful API, како и cli интерфејс.
• Fulcio (SigStore WebPKI) е систем за создавање авторитети за сертификација (Root-CAs) кои издаваат краткотрајни сертификати базирани на е-пошта автентификувана преку OpenID Connect. Времетраењето на сертификатот е 20 минути, за време на кое развивачот мора да има време да генерира дигитален потпис (ако сертификатот подоцна падне во рацете на напаѓачот, тој веќе ќе биде истечен).
• Сosign (Container Signing) е алатка за генерирање потписи за контејнери, проверка на потписи и ставање потпишани контејнери во складишта компатибилни со OCI (Иницијатива за отворен контејнер).

Извор: opennet.ru