Google je napovedal prve stabilne izdaje komponent, ki sestavljajo projekt Sigstore, ki je bil razglašen za pripravljenega za produkcijsko uvajanje. Sigstore razvija orodja in storitve za preverjanje programske opreme z uporabo digitalnih podpisov in vzdrževanje javnega dnevnika, ki potrjuje pristnost sprememb (dnevnik preglednosti). Projekt se razvija pod okriljem neprofitne organizacije. Linux Fundacijo so ustanovili Google, Red Hat, Cisco, vmWare, GitHub in HP Enterprise, s sodelovanjem fundacije Open Source Security Foundation (OpenSSF) in Univerze Purdue.
Sigstore si lahko predstavljamo kot Let's Encrypt za kodo, ki zagotavlja potrdila za digitalno podpisovanje kode in orodja za avtomatizirano preverjanje. Z uporabo Sigstore lahko razvijalci ustvarijo digitalne podpise za artefakte, povezane z aplikacijami, kot so datoteke izdaje, slike vsebnikov, manifesti in izvedljive datoteke. Podatki o podpisu so zabeleženi v javnem dnevniku, ki je zaščiten pred nedovoljenimi posegi in ga je mogoče uporabiti za preverjanje in revidiranje.
Namesto trajnih ključev Sigstore uporablja kratkotrajne efemerne ključe, ustvarjene na podlagi poverilnic, ki jih preverijo ponudniki OpenID Connect (pri ustvarjanju ključev, potrebnih za ustvarjanje digitalnega podpisa, se razvijalec overi prek ponudnika OpenID, povezanega z e-poštnim naslovom). Avtentičnost ključev se preveri v javnem, centraliziranem dnevniku, ki zagotavlja, da je avtor podpisa tisti, za katerega se izdaja, in da je podpis ustvaril isti udeleženec, odgovoren za prejšnje izdaje.
Pripravljenost Sigstorea za implementacijo temelji na izdajah dveh ključnih komponent – Rekor 1.0 in Fulcio 1.0 – katerih API-ji so bili razglašeni za stabilne in bodo ostali združljivi s prejšnjimi različicami. Komponente storitve so napisane v jeziku Go in distribuirane pod licenco Apache 2.0.
Komponenta Rekor vsebuje implementacijo dnevnika za shranjevanje digitalno podpisanih metapodatkov, ki odražajo informacije o projektu. Za zagotovitev celovitosti podatkov in zaščito pred retroaktivno korupcijo se uporablja struktura Merkle Tree, pri kateri vsaka veja preveri vse podrejene veje in vozlišča s skupnim (drevesnemu) zgoščevanjem. S končnim zgoščevanjem lahko uporabnik preveri točnost celotne zgodovine transakcij, kot tudi točnost preteklih stanj baze podatkov (zgoščevanje korenskega preverjanja novega stanja baze podatkov se izračuna ob upoštevanju prejšnjega stanja). Za preverjanje in dodajanje novih zapisov sta na voljo RESTful API in vmesnik ukazne vrstice.
Komponenta Fulcio (SigStore WebPKI) vključuje sistem za ustvarjanje overiteljev potrdil (korenskih overiteljev), ki izdajajo kratkotrajna potrdila na podlagi e-poštnih naslovov, overjenih prek OpenID Connect. Potrdilo ima 20-minutno življenjsko dobo, v kateri mora razvijalec ustvariti digitalni podpis (če potrdilo pozneje pride v roke napadalca, bo poteklo). Projekt razvija tudi komplet orodij Cosign (Container Signing), ki je zasnovan za ustvarjanje podpisov vsebnikov, preverjanje podpisov in namestitev podpisanih vsebnikov v repozitorije, ki so skladni z OCI (Open Container Initiative).
Implementacija Sigstore izboljša varnost distribucijskih kanalov programske opreme in ščiti pred napadi, katerih cilj je zamenjava knjižnic in odvisnosti (dobavna veriga). Eden ključnih varnostnih izzivov odprtokodne programske opreme je težavnost preverjanja izvorne kode programa in preverjanja procesa gradnje. Večina projektov na primer uporablja zgoščene vrednosti za preverjanje integritete izdaje, vendar so informacije, potrebne za preverjanje pristnosti, pogosto shranjene na nezaščitenih sistemih in v skupnih repozitorijih kode. Z ogrožanjem teh lahko napadalci zamenjajo datoteke, potrebne za preverjanje, in vnesejo zlonamerne spremembe, ne da bi vzbudili sum.
Uporaba digitalnih podpisov za preverjanje izdaje še ni dosegla široke uporabe zaradi zapletenosti upravljanja ključev, distribucije javnih ključev in preklica ogroženih ključev. Da bi bilo preverjanje smiselno, je potreben tudi zanesljiv in varen postopek za distribucijo javnih ključev in kontrolnih vsot. Tudi z digitalnim podpisom mnogi uporabniki ignorirajo preverjanje, ker je potreben čas za razumevanje postopka preverjanja in določitev, kateri ključi so zaupanja vredni. Projekt Sigstore si prizadeva poenostaviti in avtomatizirati te postopke z zagotavljanjem že pripravljene, preizkušene rešitve.
Vir: opennet.ru
