Red Hat dhe Google, së bashku me Universitetin Purdue, themeluan projektin Sigstore, që synon krijimin e mjeteve dhe shërbimeve për verifikimin e softuerit duke përdorur nënshkrime dixhitale dhe mbajtjen e një regjistri publik për të konfirmuar vërtetësinë (regjistri i transparencës). Projekti do të zhvillohet nën kujdesin e organizatës jofitimprurëse Linux Foundation.
Projekti i propozuar do të përmirësojë sigurinë e kanaleve të shpërndarjes së softuerit dhe do të mbrojë kundër sulmeve që synojnë zëvendësimin e komponentëve dhe varësive të softuerit (zinxhiri i furnizimit). Një nga problemet kryesore të sigurisë në softuerin me burim të hapur është vështirësia e verifikimit të burimit të programit dhe verifikimi i procesit të ndërtimit. Për shembull, shumica e projekteve përdorin hash për të verifikuar integritetin e një versioni, por shpesh informacioni i nevojshëm për vërtetimin ruhet në sisteme të pambrojtura dhe në depo kodesh të përbashkëta, si rezultat i të cilave sulmuesit mund të komprometojnë skedarët e nevojshëm për verifikim dhe të sjellin ndryshime me qëllim të keq. pa ngjallur dyshime.
Vetëm një pjesë e vogël e projekteve përdorin nënshkrime dixhitale kur shpërndajnë publikime për shkak të vështirësive në menaxhimin e çelësave, shpërndarjen e çelësave publikë dhe revokimin e çelësave të komprometuar. Në mënyrë që verifikimi të ketë kuptim, është gjithashtu e nevojshme të organizohet një proces i besueshëm dhe i sigurt për shpërndarjen e çelësave publikë dhe shumave të kontrollit. Edhe me një nënshkrim dixhital, shumë përdorues e injorojnë verifikimin sepse duhet të kalojnë kohë duke studiuar procesin e verifikimit dhe për të kuptuar se cili çelës është i besueshëm.
Sigstore konsiderohet si ekuivalenti i Let's Encrypt për kodin, duke ofruar certifikata për nënshkrimin dixhital të kodit dhe mjete për automatizimin e verifikimit. Me Sigstore, zhvilluesit mund të nënshkruajnë në mënyrë dixhitale objekte të lidhura me aplikacionin, si skedarët e lëshimit, imazhet e kontejnerëve, manifestet dhe ekzekutuesit. Një veçori e veçantë e Sigstore është se materiali i përdorur për nënshkrim pasqyrohet në një regjistër publik të padëmshëm që mund të përdoret për verifikim dhe auditim.
Në vend të çelësave të përhershëm, Sigstore përdor çelësa kalimtarë jetëshkurtër, të cilët krijohen në bazë të kredencialeve të konfirmuara nga ofruesit e OpenID Connect (në momentin e gjenerimit të çelësave për një nënshkrim dixhital, zhvilluesi e identifikon veten përmes një ofruesi OpenID të lidhur me një email). Autenticiteti i çelësave verifikohet duke përdorur një regjistër të centralizuar publik, i cili bën të mundur verifikimin që autori i nënshkrimit është pikërisht ai që pretendon se është dhe nënshkrimi është formuar nga i njëjti pjesëmarrës që ishte përgjegjës për publikimet e kaluara.
Sigstore ofron si një shërbim të gatshëm që tashmë mund ta përdorni, ashtu edhe një grup mjetesh që ju lejojnë të vendosni shërbime të ngjashme në pajisjet tuaja. Shërbimi është falas për të gjithë zhvilluesit dhe ofruesit e softuerit, dhe është i vendosur në një platformë neutrale - Fondacioni Linux. Të gjithë komponentët e shërbimit janë me burim të hapur, të shkruar në Go dhe të shpërndara nën licencën Apache 2.0.
Ndër komponentët e zhvilluar mund të vërejmë:
- Rekor është një zbatim regjistri për ruajtjen e meta të dhënave të nënshkruara dixhitale që pasqyrojnë informacione rreth projekteve. Për të siguruar integritetin dhe për t'u mbrojtur nga korrupsioni i të dhënave pas faktit, përdoret një strukturë e ngjashme me pemën "Merkle Tree", në të cilën secila degë verifikon të gjitha degët dhe nyjet themelore, falë hashimit të përbashkët (si pema). Duke pasur hash-in përfundimtar, përdoruesi mund të verifikojë korrektësinë e të gjithë historisë së operacioneve, si dhe korrektësinë e gjendjeve të kaluara të bazës së të dhënave (hash-i i verifikimit rrënjësor i gjendjes së re të bazës së të dhënave llogaritet duke marrë parasysh gjendjen e kaluar ). Për të verifikuar dhe shtuar regjistrime të reja, ofrohet një API Restful, si dhe një ndërfaqe cli.
- Fulcio (SigStore WebPKI) është një sistem për krijimin e autoriteteve të certifikimit (Root-CAs) që lëshojnë certifikata jetëshkurtër bazuar në email të vërtetuar nëpërmjet OpenID Connect. Jetëgjatësia e certifikatës është 20 minuta, gjatë së cilës zhvilluesi duhet të ketë kohë për të gjeneruar një nënshkrim dixhital (nëse certifikata më vonë bie në duart e një sulmuesi, ajo tashmë do të ketë skaduar).
- Сosign (Nënshkrimi i Kontejnerëve) është një paketë veglash për gjenerimin e nënshkrimeve për kontejnerë, verifikimin e nënshkrimeve dhe vendosjen e kontejnerëve të nënshkruar në depo të pajtueshme me OCI (Open Container Initiative).
Burimi: opennet.ru