Ред Хат и Гугл, заједно са Универзитетом Пурдуе, основали су пројекат Сигсторе, чији је циљ стварање алата и сервиса за верификацију софтвера коришћењем дигиталних потписа и одржавање јавног дневника за потврду аутентичности (транспарентност дневника). Пројекат ће се развијати под покровитељством непрофитне организације Линук Фоундатион.
Предложени пројекат ће побољшати безбедност канала дистрибуције софтвера и заштитити од напада у циљу замене софтверских компоненти и зависности (ланац снабдевања). Један од кључних безбедносних проблема у софтверу отвореног кода је тешкоћа верификације извора програма и верификације процеса израде. На пример, већина пројеката користи хешове за проверу интегритета издања, али се често информације неопходне за аутентификацију чувају на незаштићеним системима и у дељеним репозиторијумима кода, услед чега нападачи могу да угрозе датотеке неопходне за верификацију и унесу злонамерне промене. не изазивајући сумњу.
Само мали део пројеката користи дигиталне потписе приликом дистрибуције издања због потешкоћа у управљању кључевима, дистрибуцији јавних кључева и опозивању компромитованих кључева. Да би верификација имала смисла, потребно је и организовати поуздан и сигуран процес дистрибуције јавних кључева и контролних сума. Чак и са дигиталним потписом, многи корисници игноришу верификацију јер морају да проведу време проучавајући процес верификације и разумеју који кључ је поуздан.
Сигсторе се рекламира као еквивалент Лет'с Енцрипт за код, пружајући сертификате за код за дигитално потписивање и алате за аутоматизацију верификације. Са Сигсторе-ом, програмери могу дигитално потписати артефакте у вези са апликацијом као што су датотеке издања, слике контејнера, манифести и извршни фајлови. Посебна карактеристика Сигсторе-а је да се материјал који се користи за потписивање одражава у јавном дневнику заштићеном од неовлашћеног приступа који се може користити за верификацију и ревизију.
Уместо трајних кључева, Сигсторе користи краткотрајне ефемерне кључеве, који се генеришу на основу акредитива које су потврдили ОпенИД Цоннецт провајдери (у време генерисања кључева за дигитални потпис, програмер се идентификује преко ОпенИД провајдера повезаног са е-поштом). Аутентичност кључева се проверава коришћењем јавног централизованог дневника, који омогућава верификацију да је аутор потписа управо онај за кога се представља и да је потпис формирао исти учесник који је био одговоран за ранија издања.
Сигсторе пружа и готову услугу коју већ можете да користите, и скуп алата који вам омогућавају да примените сличне услуге на сопственој опреми. Услуга је бесплатна за све програмере и добављаче софтвера, а распоређена је на неутралној платформи - Линукс фондацији. Све компоненте услуге су отвореног кода, написане у Го-у и дистрибуиране под лиценцом Апацхе 2.0.
Међу развијеним компонентама можемо приметити:
- Рекор је имплементација дневника за складиштење дигитално потписаних метаподатака који одражавају информације о пројектима. Да би се осигурао интегритет и заштитили од оштећења података након чињенице, користи се структура налик стаблу „Меркле Трее“, у којој свака грана верификује све основне гране и чворове, захваљујући заједничком (дрветастом) хеширању. Имајући коначан хеш, корисник може да провери исправност целокупне историје операција, као и тачност прошлих стања базе података (хеш за проверу корена новог стања базе података израчунава се узимајући у обзир прошло стање ). За верификацију и додавање нових записа, обезбеђен је Рестфул АПИ, као и Цли интерфејс.
- Фулцио (СигСторе ВебПКИ) је систем за креирање ауторитета за сертификацију (Роот-ЦА) који издају краткотрајне сертификате на основу е-поште аутентификоване преко ОпенИД Цоннецт-а. Век трајања сертификата је 20 минута, током којих програмер мора имати времена да генерише дигитални потпис (ако сертификат касније падне у руке нападача, он ће већ бити истекао).
- Цосигн (Цонтаинер Сигнинг) је алат за генерисање потписа за контејнере, проверу потписа и постављање потписаних контејнера у ризнице компатибилне са ОЦИ (Опен Цонтаинер Инитиативе).
Извор: опеннет.ру