紅帽公司、Google公司和普渡大學共同創立了 Sigstore 項目,旨在開發利用數位簽章進行軟體驗證的工具和服務,並維護公開透明的日誌。該項目將由非營利組織負責開發。 Linux 基礎。
擬議專案將提高軟體分發管道的安全性,並防範旨在替換軟體元件和相依性(供應鏈)的攻擊。開源軟體的關鍵安全問題之一是難以檢查程式原始碼和驗證建置流程。例如,大多數項目使用雜湊值來檢查版本的完整性,但驗證真實性所需的資訊通常儲存在不受保護的系統和共用程式碼儲存庫中。因此,如果資訊被盜用,攻擊者可以替換驗證所需的文件,並在不引起懷疑的情況下引入惡意變更。
由於金鑰管理、公鑰分發以及金鑰洩漏撤銷的複雜性,只有少數項目在發布版本時使用數位簽章。為了使驗證有意義,還需要一個可靠且安全的公鑰和校驗和分發流程。即使有了數位簽名,許多用戶仍然會忽略驗證,因為他們需要花時間學習驗證流程並了解哪些金鑰是可信的。
Sigstore 類似於 Let's Encrypt 的程式碼版本,提供用於驗證程式碼的數位簽章憑證以及自動化驗證工具。借助 Sigstore,開發者可以為應用程式相關的元件(例如發布檔案、容器映像、清單和執行檔)產生數位簽章。 Sigstore 的一大特色是,用於簽署的資料會記錄在防篡改的公共日誌中,可用於驗證和稽核。
Sigstore 不使用永久金鑰,而是使用基於 OpenID Connect 供應商驗證的憑證產生的臨時金鑰(在產生數位簽章金鑰時,開發者會透過連結到電子郵件的 OpenID 供應商進行驗證)。金鑰的真實性已透過公共集中式日誌進行驗證,該日誌可讓您驗證簽名作者是否與其聲稱的身份相符,以及簽名是否由負責先前版本的相同參與者產生。
Sigstore 提供即用型服務以及一套工具,方便您在自己的硬體上部署類似服務。該服務對所有開發者和軟體供應商免費開放,並部署在一個中立的平台上。 Linux 基金會。該服務的所有元件均為開源軟體,使用 Go 語言編寫,並根據 Apache 2.0 授權分發。
在正在開發的組件中,值得注意的有以下幾點:
- Rekor 是一個日誌實現,用於儲存反映項目資訊的數位簽章元資料。為了確保資料完整性並防止資料被追溯損壞,它使用了一個名為 Merkle 樹的樹狀結構,其中每個分支使用聯合(樹狀)雜湊演算法驗證所有底層分支和節點。使用最終雜湊值,使用者可以驗證整個操作歷史記錄的正確性,以及過去資料庫狀態的正確性(新資料庫狀態的根驗證雜湊值是在考慮過去狀態的情況下計算的)。 Rekor 提供了 Restful API 和命令列介面,用於驗證和新增記錄。
- Fulcio (SigStore WebPKI) 是一個用於建立憑證授權單位 (Root-CA) 的系統,該系統基於透過 OpenID Connect 驗證的電子郵件頒發短期憑證。憑證的有效期為 20 分鐘,在此期間,開發人員必須有時間產生數位簽章(如果憑證後來落入入侵者手中,則憑證已過期)。
- Cosign(容器簽名)是一種用於為容器產生簽名、驗證簽名並將簽名的容器放置在與 OCI(開放容器計劃)相容的儲存庫中的工具。
來源: opennet.ru
