Red Hat ve Google, Purdue Üniversitesi ile birlikte, dijital imzalar kullanarak yazılımı doğrulamak ve orijinalliği doğrulamak için genel bir günlük (şeffaflık günlüğü) tutmak için araçlar ve hizmetler oluşturmayı amaçlayan Sigstore projesini kurdu. Proje, kar amacı gütmeyen kuruluş Linux Foundation'ın himayesinde geliştirilecek.
Önerilen proje, yazılım dağıtım kanallarının güvenliğini artıracak ve yazılım bileşenlerini ve bağımlılıklarını (tedarik zinciri) değiştirmeyi amaçlayan saldırılara karşı koruma sağlayacaktır. Açık kaynak yazılımdaki en önemli güvenlik sorunlarından biri, programın kaynağını doğrulamanın ve derleme sürecini doğrulamanın zorluğudur. Örneğin, çoğu proje bir sürümün bütünlüğünü doğrulamak için karmaları kullanır, ancak çoğu zaman kimlik doğrulama için gerekli bilgiler korumasız sistemlerde ve paylaşılan kod depolarında depolanır, bunun sonucunda saldırganlar doğrulama için gerekli dosyaları tehlikeye atabilir ve kötü niyetli değişiklikler yapabilir. şüphe yaratmadan.
Anahtarların yönetilmesi, genel anahtarların dağıtılması ve güvenliği ihlal edilmiş anahtarların iptal edilmesindeki zorluklar nedeniyle projelerin yalnızca küçük bir kısmı sürümleri dağıtırken dijital imzaları kullanıyor. Doğrulamanın anlamlı olması için, genel anahtarların ve sağlama toplamlarının dağıtımına yönelik güvenilir ve emniyetli bir sürecin düzenlenmesi de gereklidir. Dijital imzayla bile birçok kullanıcı doğrulamayı göz ardı eder çünkü doğrulama sürecini incelemek ve hangi anahtarın güvenilir olduğunu anlamak için zaman harcamaları gerekir.
Sigstore, dijital olarak imzalanan kodlar için sertifikalar ve otomatik doğrulama araçları sağlayan Let's Encrypt'in kod eşdeğeri olarak lanse ediliyor. Geliştiriciler, Sigstore ile sürüm dosyaları, konteyner görüntüleri, bildirimler ve yürütülebilir dosyalar gibi uygulamayla ilgili yapıları dijital olarak imzalayabilir. Sigstore'un özel bir özelliği, imzalama için kullanılan materyalin, doğrulama ve denetim için kullanılabilecek, kurcalamaya karşı korumalı bir genel kayıt defterine yansıtılmasıdır.
Sigstore, kalıcı anahtarlar yerine, OpenID Connect sağlayıcıları tarafından onaylanan kimlik bilgilerine dayalı olarak oluşturulan kısa ömürlü geçici anahtarlar kullanır (dijital imza için anahtarlar oluşturulurken, geliştirici kendisini bir e-postaya bağlı bir OpenID sağlayıcı aracılığıyla tanımlar). Anahtarların gerçekliği, imzanın yazarının tam olarak iddia ettiği kişi olduğunu ve imzanın geçmiş sürümlerden sorumlu olan aynı katılımcı tarafından oluşturulduğunu doğrulamayı mümkün kılan, kamuya açık merkezi bir günlük kullanılarak doğrulanır.
Sigstore, hem halihazırda kullanabileceğiniz hazır bir hizmet hem de benzer hizmetleri kendi ekipmanınıza dağıtmanıza olanak tanıyan bir dizi araç sağlar. Hizmet, tüm geliştiriciler ve yazılım sağlayıcılar için ücretsizdir ve tarafsız bir platform olan Linux Foundation üzerinde konuşlandırılmıştır. Hizmetin tüm bileşenleri açık kaynaktır, Go'da yazılmıştır ve Apache 2.0 lisansı altında dağıtılmaktadır.
Geliştirilen bileşenler arasında şunları not edebiliriz:
- Rekor, projelerle ilgili bilgileri yansıtan dijital olarak imzalanmış meta verileri depolamaya yönelik bir günlük uygulamasıdır. Bütünlüğü sağlamak ve sonradan veri bozulmasına karşı koruma sağlamak için, her bir dalın, ortak (ağaç benzeri) karma işlemi sayesinde tüm temel dalları ve düğümleri doğruladığı, ağaç benzeri bir yapı olan "Merkle Ağacı" kullanılır. Son karmaya sahip olan kullanıcı, tüm işlem geçmişinin doğruluğunun yanı sıra veritabanının geçmiş durumlarının doğruluğunu da doğrulayabilir (veritabanının yeni durumunun kök doğrulama karması, geçmiş durum dikkate alınarak hesaplanır) ). Yeni kayıtları doğrulamak ve eklemek için bir Restful API'nin yanı sıra bir cli arayüzü de sağlanır.
- Fulcio (SigStore WebPKI), OpenID Connect aracılığıyla kimliği doğrulanan e-postaya dayalı olarak kısa ömürlü sertifikalar veren sertifika yetkilileri (Kök CA'lar) oluşturmaya yönelik bir sistemdir. Sertifikanın ömrü 20 dakikadır ve bu süre zarfında geliştiricinin dijital imza oluşturmak için zamana sahip olması gerekir (sertifika daha sonra bir saldırganın eline geçerse, süresi dolmuş olacaktır).
- Сosign (Konteyner İmzalama), konteynerler için imzalar oluşturmaya, imzaları doğrulamaya ve imzalı konteynerleri OCI (Açık Konteyner Girişimi) ile uyumlu depolara yerleştirmeye yönelik bir araç setidir.
Kaynak: opennet.ru