The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Объявлено о готовности системы криптографической верификации кода Sigstore

25.10.2022 19:20

Компания Google сообщила о формировании первых стабильных выпусков компонентов, образующих проект Sigstore, который объявлен пригодным для создания рабочих внедрений. Sigstore развивает инструменты и сервисы для верификации программного обеспечения при помощи цифровых подписей и ведения публичного лога, подтверждающего подлинность изменений (transparency log). Проект развивается под эгидой некоммерческой организации Linux Foundation компаниями Google, Red Hat, Cisco, vmWare, GitHub и HP Enterprise при участии организации OpenSSF (Open Source Security Foundation) и университета Пердью.

Sigstore можно рассматривать как аналог Let’s Encrypt для кода, предоставляющий сертификаты для заверения кода цифровыми подписями и инструментарий для автоматизации проверки. При помощи Sigstore разработчики смогут формировать цифровые подписи для связанных с приложением артефактов, таких как файлы с релизами, образы контейнеров, манифесты и исполняемые файлы. Используемый для подписи материал отражается в защищённом от внесения изменений публичном логе, который можно использовать для проверки и аудита.

Вместо постоянных ключей в Sigstore применяются короткоживущие эфемерные ключи, которые генерируются на основе полномочий, подтверждённых провайдерами OpenID Connect (в момент генерации ключей, необходимых для создания цифровой подписи, разработчик идентифицирует себя через провайдера OpenID с привязкой к email). Подлинность ключей проверяется по публичному централизованному логу, который позволяет убедиться, что автор подписи именно тот, за кого себя выдаёт, и подпись сформирована тем же участником, что отвечал за прошлые релизы.

Готовность Sigstore к внедрению обусловлена формированием релизов двух ключевых компонентов - Rekor 1.0 и Fulcio 1.0, программные интерфейсы которых объявлены стабильными и впредь сохраняющими обратную совместимость. Компоненты сервиса написаны на языке Go и распространяются под лицензией Apache 2.0.

Компонент Rekor содержит реализацию лога для хранения заверенных цифровыми подписями метаданных, отражающих информацию о проектах. Для обеспечения целостности и защиты от искажения данных задним числом применяется древовидная структура "дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы благодаря совместному (древовидному) хешированию. Имея конечный хеш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хеш нового состояния базы вычисляется с учётом прошлого состояния). Для верификации и добавления новых записей предоставляется RESTful API, а также интерфейс командной строки.

Компонент Fulcio (SigStore WebPKI) включает систему для создания удостоверяющих центров (root CA), выдающих короткоживущие сертификаты на основе email, аутентифицированного через OpenID Connect. Время жизни сертификата составляет 20 минут, за которые разработчик должен успеть сформировать цифровую подпись (если в дальнейшем сертификат попадёт к руки злоумышленника, то он уже будет просрочен). Дополнительно проектом развивается инструментарий Сosign (Container Signing), предназначенный для формирования подписей к контейнерам, проверки подписей и размещения подписанных контейнеров в репозиториях, совместимых с OCI (Open Container Initiative).

Внедрение Sigstore даёт возможность повысить безопасность каналов распространения программ и защититься от атак, нацеленных на подмену библиотек и зависимостей (supply chain). Одной из ключевых проблем с безопасностью в открытом ПО является сложность проверки источника получения программы и верификации процесса сборки. Например, для проверки целостности релиза большинство проектов используют хеши, но часто необходимая для проверки подлинности информация хранится на незащищенных системах и в общих репозиториях с кодом, в результате компрометации которых атакующие могут подменить необходимые для верификации файлы и, не вызывая подозрений, внедрить вредоносные изменения.

Применение цифровых подписей для верификации релизов пока не получило повсеместного распространения из-за сложностей в управлении ключами, распространении открытых ключей и отзыве скомпрометированных ключей. Для того, чтобы верификация имела смысл дополнительно требуется организовать надёжный и безопасный процесс распространения открытых ключей и контрольных сумм. Даже при наличии цифровой подписи многие пользователи игнорируют проверку, так как необходимо потратить время на изучение процесса верификации и понять, какой ключ заслуживает доверия. Проект Sigstore пытается упросить и автоматизировать эти процессы, предоставив готовое и проверенное решение.

  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: В NPM планируют использовать Sigstore для подтверждения подлинности пакетов
  3. OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft
  4. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  5. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
  6. OpenNews: Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57979-sigstore
Ключевые слова: sigstore, cert, sign
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:42, 25/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Всё это заменяется блокчейном биткойна
     
     
  • 2.4, zeroc0der (?), 20:01, 25/10/2022 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Правильнее сказать, что <censored> блокчейн заменяется этим решением.
     
  • 2.15, КО (?), 07:57, 26/10/2022 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Давай вместо хэшей и солей твой сраный чейн засунем.
    Потому что модно и молодежно.
     

  • 1.2, wasm (?), 19:45, 25/10/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +4 +/
     
  • 1.3, ip1982 (ok), 19:54, 25/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    > под эгидой некоммерческой организации Linux Foundation компаниями Google, **IBM**, Cisco, vmWare, **Microsoft**
     
     
  • 2.17, Аноним (17), 11:17, 26/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Кто линупc кормит, тот его и сношает. Что-то не так?
     
  • 2.19, Аноним (19), 17:48, 26/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > и университета Пердью!
     

  • 1.6, Аноним (6), 20:54, 25/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Достаточно угнать креды и авторизоваться в OpenID, чтобы код стал криптографически верифицированным? Ну ок. Как всегда все упрется в 2ФА или физический доступ.
    Что-то на уровне подписи ключом, хранящимся в облаке. Корпоративная имитация безопасности, чисто ритуальные действия.
     
  • 1.7, Анонус (?), 20:59, 25/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +5 +/
    Т.е. теперь доверенным будет только софт, подписанный Гуглом? ОЙ, простите, провайдерами OpenID Connect.
     
     
  • 2.8, bircoph (ok), 21:11, 25/10/2022 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Да, можно будет легко отшивать неугодных, недостаточно толерантных и прочих инакомыслящих. Всё во имя безопасности пользователей, разумеется.
     
  • 2.9, google (??), 21:47, 25/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    А как иначе? Caliptra https://www.opennet.me/opennews/art.shtml?num=57962
     

  • 1.10, nuclight (??), 22:54, 25/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Гуглю мало контроля над вебом (в виде https и карманного CA), теперь еще и над кодом хочет? GPG-подпись коммитов в гите сто лет есть ведь.
     
  • 1.11, microsoft (?), 23:06, 25/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Ну вот и еще один кусочек локдауна готов. *звук потирания банкстеро-ручек*
     
  • 1.13, Аноним (13), 03:08, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    GitHub уже работает над интеграцией с npm пакетами
     
  • 1.14, myhand (ok), 07:56, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Делаем ставки на то, как скоро в дебиане пройдет очередной обобрямс на тему замены плохих, негодных GPG-подписей пакетов на этот зонд?
     
     
  • 2.16, Бывалый смузихлёб (?), 08:41, 26/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Аноны даже не замечают что их с линуксами системно со всех сторон поджимают, причём когда система комплексно заработает, уже поздно будет брыкаться

    С одной стороны - подписание исходников и сборок тем кем надо( или не подписание им без юридической ответственности )
    С другой - механизмы проверки целостности в системе, основанные на сопоставлении с ключевыми точками

    Если так дальше пойдёт, то даже при некоторой открытости исходников, сборки тех же пакетов но с выпиленными зондами уже не будут проходить верификацию и придётся либо сидеть за тыквой беззондовой, либо - с зондами, без модулей с которыми многое тупо работать не будет

    Это может оказаться гораздо хуже винды, т.к уже не окажется линукса на который можно свалить

     
     
  • 3.20, Andrew Tridgel (?), 23:27, 26/10/2022 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Свалите на FreeBSD и будете 0.1%. В десять раз элитнее линукса!
     
     
  • 4.21, Бывалый смузихлёб (?), 13:02, 27/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Свалите на FreeBSD и будете 0.1%. В десять раз элитнее линукса!

    Дело не в илитности. В итоге окажется, что бздям либо потребуется реализовать кучу механизмов защиты от пользователя, либо - функциональность будет даже хуже чем сейчас( если вообще сможет запуститься на новом компе. А то окажется, что тут - не подписано, там - нет подключения "единственно-правильным" сервакам верификации и так далее )

     

  • 1.18, Аноним (18), 17:44, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    ох блин. расскажите им уже о git коммитах.

    велосипедостроители. go get, pip, npm, compose то-же писали такие же не умеющие в git submodules

     
  • 1.22, Аноним (22), 19:11, 05/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Только подписи OpenPGP пакетов и комитов.

    Только подписи открытых ключей OpenPGP при личной встрече с верификацией паспортный данных и почты.

    Все остальное от лукавых жидомасонам, чтобы вирусы распространять.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру