Red Hat u Google, flimkien ma 'Purdue University, waqqfu l-proġett Sigstore, immirat lejn il-ħolqien ta' għodod u servizzi għall-verifika tas-softwer bl-użu ta 'firem diġitali u ż-żamma ta' reġistru pubbliku biex tikkonferma l-awtentiċità (log tat-trasparenza). Il-proġett se jiġi żviluppat taħt l-awspiċi tal-organizzazzjoni li ma tagħmilx qligħ Linux Foundation.
Il-proġett propost se jtejjeb is-sigurtà tal-kanali tad-distribuzzjoni tas-softwer u jipproteġi kontra attakki mmirati biex jissostitwixxu l-komponenti u d-dipendenzi tas-softwer (katina tal-provvista). Waħda mill-problemi ewlenin tas-sigurtà fis-software open source hija d-diffikultà li tivverifika s-sors tal-programm u tivverifika l-proċess tal-bini. Pereżempju, il-biċċa l-kbira tal-proġetti jużaw il-hashes biex jivverifikaw l-integrità ta’ rilaxx, iżda ħafna drabi l-informazzjoni meħtieġa għall-awtentikazzjoni tinħażen f’sistemi mhux protetti u f’repożitorji ta’ kodiċi kondiviżi, b’riżultat li l-attakkanti jistgħu jikkompromettu l-fajls meħtieġa għall-verifika u jintroduċu bidliet malizzjużi. mingħajr ma jqajjem suspett.
Proporzjon żgħir biss tal-proġetti juża firem diġitali meta jqassmu rilaxxi minħabba d-diffikultajiet fil-ġestjoni taċ-ċwievet, id-distribuzzjoni taċ-ċwievet pubbliċi, u r-revoka taċ-ċwievet kompromessi. Sabiex il-verifika tagħmel sens, huwa wkoll meħtieġ li jiġi organizzat proċess affidabbli u sikur għad-distribuzzjoni taċ-ċwievet pubbliċi u ċ-checksums. Anke b'firma diġitali, ħafna utenti jinjoraw il-verifika għaliex jeħtieġ li jqattgħu ħin jistudjaw il-proċess ta 'verifika u jifhmu liema ċavetta hija affidabbli.
Sigstore huwa msejjaħ bħala l-ekwivalenti ta' Let's Encrypt għall-kodiċi, li jipprovdi ċertifikati għall-iffirmar diġitali tal-kodiċi u għodod għall-awtomatizzazzjoni tal-verifika. B'Sigstore, l-iżviluppaturi jistgħu jiffirmaw b'mod diġitali artifatti relatati mal-applikazzjoni bħal fajls ta 'rilaxx, stampi ta' kontenitur, manifesti u eżekutibbli. Karatteristika speċjali ta 'Sigstore hija li l-materjal użat għall-iffirmar huwa rifless f'ġurnal pubbliku li ma jkunx tbagħbis li jista' jintuża għall-verifika u l-verifika.
Minflok ċwievet permanenti, Sigstore juża ċwievet effimeri ta 'ħajja qasira, li huma ġġenerati abbażi ta' kredenzjali kkonfermati mill-fornituri ta 'OpenID Connect (fil-ħin li jiġġenera ċwievet għal firma diġitali, l-iżviluppatur jidentifika lilu nnifsu permezz ta' fornitur OpenID marbut ma 'email). L-awtentiċità taċ-ċwievet hija vverifikata permezz ta 'ġurnal ċentralizzat pubbliku, li jagħmilha possibbli li jiġi vverifikat li l-awtur tal-firma huwa eżattament min jgħid li hu u l-firma kienet iffurmata mill-istess parteċipant li kien responsabbli għar-rilaxxi tal-passat.
Sigstore jipprovdi kemm servizz lest li diġà tista’ tuża, kif ukoll sett ta’ għodod li jippermettulek tuża servizzi simili fuq it-tagħmir tiegħek stess. Is-servizz huwa b'xejn għall-iżviluppaturi u l-fornituri tas-softwer kollha, u huwa skjerat fuq pjattaforma newtrali - il-Linux Foundation. Il-komponenti kollha tas-servizz huma sors miftuħ, miktuba f'Go u mqassma taħt il-liċenzja Apache 2.0.
Fost il-komponenti żviluppati nistgħu ninnutaw:
- Rekor hija implimentazzjoni ta 'log għall-ħażna ta' metadejta ffirmata b'mod diġitali li tirrifletti informazzjoni dwar proġetti. Biex tiġi żgurata l-integrità u tipproteġi kontra l-korruzzjoni tad-dejta wara l-fatt, tintuża struttura bħal siġra "Merkle Tree", li fiha kull fergħa tivverifika l-fergħat u n-nodi kollha sottostanti, grazzi għal hashing konġunt (bħal siġra). Wara li l-hash finali, l-utent jista 'jivverifika l-korrettezza tal-istorja kollha tal-operazzjonijiet, kif ukoll il-korrettezza tal-istati tal-passat tad-database (il-hash tal-verifika tal-għeruq tal-istat il-ġdid tad-database huwa kkalkulat b'kont meħud tal-istat tal-passat ). Biex tivverifika u żżid rekords ġodda, tiġi pprovduta API Restful, kif ukoll interface cli.
- Fulcio (SigStore WebPKI) hija sistema għall-ħolqien ta' awtoritajiet ta' ċertifikazzjoni (Root-CAs) li joħorġu ċertifikati ta' ħajja qasira bbażati fuq email awtentikata permezz ta' OpenID Connect. Il-ħajja taċ-ċertifikat hija ta '20 minuta, li matulhom l-iżviluppatur għandu jkollu ħin biex jiġġenera firma diġitali (jekk iċ-ċertifikat aktar tard jaqa' f'idejn attakkant, ikun diġà skada).
- Сosign (Ffirmar tal-Kontenituri) huwa sett ta' għodod għall-ġenerazzjoni tal-firem għall-kontenituri, il-verifika tal-firem u t-tqegħid ta' kontenituri ffirmati f'repożitorji kompatibbli mal-OCI (Open Container Initiative).
Sors: opennet.ru