Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Projekt Sigstore – czyli odpowiednik Let’s Encrypt do podpisywania kodu.
Sigstore to projekt Linux Foundation opracowany przez Google i Red Hat, a służący do podpisywania kodu.
Nieodłączną słabością kodów typu Open Source jest to, że trudno określić ich pochodzenie i sposób, w jaki zostały zbudowane, co oznacza, że są one podatne na ataki w łańcuchu dostaw. Google postanowiło rozwiązać ten problem, dlatego we współpracy z Red Hat oraz Smallstep ogłosił powstanie projektu Sigstore dla Linux Foundation. Ma on ułatwić podpisywanie i weryfikację kodu źródłowego.
Google opisuje Sigstore jako “Let’s Encrypt” dla podpisywania kodu. Jak wiemy, Let’s Encrypt odpowiedzialny jest za dostarczanie certyfikatów i narzędzi do automatyzacji obsługi protokołu HTTPS. Sigstore robi to samo dla podpisywania kodu, czyli wiąże podpis kryptograficzny z określonym artefaktem cyfrowym – wydaną wersją plików, obrazami kontenerów czy plikami binarnymi – tak, aby osoba korzystająca z oprogramowania mogła sprawdzić podpis kodu i zweryfikować, czy wydanie jest autentyczne i nie zostało przez kogoś zmienione “po drodze”.
Ponadto wszystkie certyfikaty Sigstore są przechowywane w Transparency Logs, znanych z certyfikatów SSL, które każdy może przeglądać i sprawdzać. Google twierdzi, że rozumie wyzwania związane z długoterminowym zarządzaniem kluczami i ich dystrybucją, więc do podpisywania kodu będzie stosować krótkoterminowe certyfikaty w oparciu o OpenID Connect i główny urząd certyfikacji (Root Certyficate Authority – CA).
Luke Hinds, szef bezpieczeństwa firmy Red Hat, zapytany o projekt powiedział:
Jestem bardzo podekscytowany sigstore i tym, co oznacza dla poprawy bezpieczeństwa łańcuchów dostaw oprogramowania. Sigstore to doskonały przykład tego, jak społeczność open source może zebrać się razem, aby współpracować i opracowywać rozwiązanie ułatwiające wdrażanie podpisów w transparentny sposób.
Wiadomość o tym projekcie jest kolejną rzeczą, w którą angażuje się firma Google. Nie tak dawno ogłosiła pomoc w finansowaniu dwóch programistów Linuksa, którzy będą skupiać się na poprawie bezpieczeństwa jądra. Chodź projekt jest jeszcze w początkowej fazie, jego celem jest dostarczenie tej usługi w taki sposób, aby ułatwić cały proces programistom. Nie będą już musieli zajmować się kluczowymi problemami z zarządzaniem, które pojawią się podczas samodzielnego podpisywania kodu lub w ramach projektu z wieloma opiekunami.
– pki
W celu sprawdzenia integralnosci zrodel (glownie) uzywam sygnatur GnuPG.
Jakie sa przewagi tego Sigstore nad GnuPG?
Za pomoca GnuPG masz chyba tylko werifikacje repozytorium, ale same paczki, ktore sciagasz z repo CHYBA nie sa juz podpisywane. Czy sie mylę?
Paczki (np. tar.gz) i nie tylko paczki, ale dowolne pliki moga byc podpisane za pomoca GnuPG.
Z tym że ja nie pobieram gitem.
Mylisz się:
https://mirrors.edge.kernel.org/archlinux/core/os/x86_64/
Jak widać są pliki sygnatur dla każdej z paczek.
Jednak to od użytkownika ostatecznie zależy jaki model weryfikacji przyjmie. (domyślnie weryfikacja jest włączona)
https://wiki.archlinux.org/index.php/Pacman/Package_signing
Wszystko super, ale czemu Google? Mało wie o nas?
Dlatego, ze Goolag ma tylko troche do powiedzenia w przedsiewzieciu „Let’s Encrypt”. „Troche” to dla Goolagu „za malo”, wiec robi Sigstore.