Red Hat dan Google, bersama-sama dengan Universiti Purdue, mengasaskan projek Sigstore, bertujuan untuk mencipta alat dan perkhidmatan untuk mengesahkan perisian menggunakan tandatangan digital dan mengekalkan log awam untuk mengesahkan ketulenan (log ketelusan). Projek ini akan dibangunkan di bawah naungan organisasi bukan untung Linux Foundation.
Projek yang dicadangkan akan meningkatkan keselamatan saluran pengedaran perisian dan melindungi daripada serangan yang bertujuan untuk menggantikan komponen perisian dan kebergantungan (rantaian bekalan). Salah satu masalah keselamatan utama dalam perisian sumber terbuka ialah kesukaran untuk mengesahkan sumber program dan mengesahkan proses binaan. Sebagai contoh, kebanyakan projek menggunakan cincang untuk mengesahkan integriti keluaran, tetapi selalunya maklumat yang diperlukan untuk pengesahan disimpan pada sistem yang tidak dilindungi dan dalam repositori kod kongsi, akibatnya penyerang boleh menjejaskan fail yang diperlukan untuk pengesahan dan memperkenalkan perubahan berniat jahat tanpa menimbulkan syak wasangka.
Hanya sebahagian kecil projek menggunakan tandatangan digital semasa mengedarkan keluaran disebabkan kesukaran mengurus kunci, mengedarkan kunci awam dan membatalkan kunci yang terjejas. Untuk pengesahan menjadi masuk akal, anda juga perlu mengatur proses yang boleh dipercayai dan selamat untuk mengedarkan kunci awam dan jumlah semak. Walaupun dengan tandatangan digital, ramai pengguna mengabaikan pengesahan kerana mereka perlu meluangkan masa untuk mengkaji proses pengesahan dan memahami kunci yang boleh dipercayai.
Sigstore disebut-sebut sebagai setara dengan Let's Encrypt untuk kod, menyediakan sijil untuk kod tandatangan digital dan alatan untuk mengautomasikan pengesahan. Dengan Sigstore, pembangun boleh menandatangani artifak berkaitan aplikasi secara digital seperti fail keluaran, imej bekas, manifes dan boleh laku. Ciri khas Sigstore ialah bahan yang digunakan untuk menandatangani ditunjukkan dalam log awam kalis gangguan yang boleh digunakan untuk pengesahan dan pengauditan.
Daripada kunci kekal, Sigstore menggunakan kunci sementara jangka pendek, yang dijana berdasarkan bukti kelayakan yang disahkan oleh penyedia OpenID Connect (pada masa menjana kunci untuk tandatangan digital, pembangun mengenal pasti dirinya melalui pembekal OpenID yang dipautkan ke e-mel). Ketulenan kunci disahkan menggunakan log terpusat awam, yang membolehkan untuk mengesahkan bahawa pengarang tandatangan adalah betul-betul yang didakwanya dan tandatangan itu dibentuk oleh peserta yang sama yang bertanggungjawab untuk keluaran lalu.
Sigstore menyediakan kedua-dua perkhidmatan sedia yang anda sudah boleh gunakan, dan satu set alat yang membolehkan anda menggunakan perkhidmatan serupa pada peralatan anda sendiri. Perkhidmatan ini adalah percuma untuk semua pembangun dan penyedia perisian, dan digunakan pada platform neutral - Yayasan Linux. Semua komponen perkhidmatan adalah sumber terbuka, ditulis dalam Go dan diedarkan di bawah lesen Apache 2.0.
Antara komponen yang dibangunkan kita boleh perhatikan:
- Rekor ialah pelaksanaan log untuk menyimpan metadata yang ditandatangani secara digital yang mencerminkan maklumat tentang projek. Untuk memastikan integriti dan melindungi daripada rasuah data selepas fakta itu, struktur seperti pokok "Pokok Merkle" digunakan, di mana setiap cawangan mengesahkan semua cawangan dan nod asas, terima kasih kepada pencincangan bersama (seperti pokok). Mempunyai cincangan terakhir, pengguna boleh mengesahkan ketepatan keseluruhan sejarah operasi, serta ketepatan keadaan pangkalan data yang lalu (cincang pengesahan akar bagi keadaan baharu pangkalan data dikira dengan mengambil kira keadaan masa lalu ). Untuk mengesahkan dan menambah rekod baharu, API Restful disediakan, serta antara muka cli.
- Fulcio (SigStore WebPKI) ialah sistem untuk mencipta pihak berkuasa pensijilan (Root-CA) yang mengeluarkan sijil jangka pendek berdasarkan e-mel yang disahkan melalui OpenID Connect. Jangka hayat sijil ialah 20 minit, di mana pembangun mesti mempunyai masa untuk menjana tandatangan digital (jika sijil itu kemudiannya jatuh ke tangan penyerang, ia akan tamat tempoh).
- Π‘osign (Penandatanganan Kontena) ialah kit alat untuk menjana tandatangan untuk bekas, mengesahkan tandatangan dan meletakkan bekas yang ditandatangani dalam repositori yang serasi dengan OCI (Inisiatif Kontena Terbuka).
Sumber: opennet.ru