Projekt Sigstore – czyli odpowiednik Let’s Encrypt do podpisywania kodu.

12 marca 2021, 21:10 | Aktualności | komentarzy 6
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Sigstore to projekt Linux Foundation opracowany przez Google i Red Hat, a służący do podpisywania kodu.

Nieodłączną słabością kodów typu Open Source jest to, że trudno określić ich pochodzenie i sposób, w jaki zostały zbudowane, co oznacza, że są one podatne na ataki w łańcuchu dostaw. Google postanowiło rozwiązać ten problem, dlatego we współpracy z Red Hat oraz Smallstep ogłosił powstanie projektu Sigstore dla Linux Foundation. Ma on ułatwić  podpisywanie i weryfikację kodu źródłowego.

Google opisuje Sigstore jako “Let’s Encrypt” dla podpisywania kodu. Jak wiemy, Let’s Encrypt odpowiedzialny jest za dostarczanie certyfikatów i narzędzi do automatyzacji obsługi protokołu HTTPS. Sigstore robi to samo dla podpisywania kodu, czyli wiąże podpis kryptograficzny z określonym artefaktem cyfrowym – wydaną wersją plików, obrazami kontenerów czy plikami binarnymi – tak, aby osoba korzystająca z oprogramowania mogła sprawdzić podpis kodu i zweryfikować, czy wydanie jest autentyczne i nie zostało przez kogoś zmienione “po drodze”. 

Ponadto wszystkie certyfikaty Sigstore są przechowywane w Transparency Logs, znanych z certyfikatów SSL, które każdy może przeglądać i sprawdzać. Google twierdzi, że rozumie wyzwania związane z długoterminowym zarządzaniem kluczami i ich dystrybucją, więc do podpisywania kodu będzie stosować krótkoterminowe certyfikaty w oparciu o OpenID Connect i główny urząd certyfikacji (Root Certyficate Authority – CA). 

Luke Hinds, szef bezpieczeństwa firmy Red Hat, zapytany o projekt powiedział:

Jestem bardzo podekscytowany sigstore i tym, co oznacza dla poprawy bezpieczeństwa łańcuchów dostaw oprogramowania. Sigstore to doskonały przykład tego, jak społeczność open source może zebrać się razem, aby współpracować i opracowywać rozwiązanie ułatwiające wdrażanie podpisów w transparentny sposób.

Wiadomość o tym projekcie jest kolejną rzeczą, w którą angażuje się firma Google. Nie tak dawno ogłosiła pomoc w finansowaniu dwóch programistów Linuksa, którzy będą skupiać się na poprawie bezpieczeństwa jądra. Chodź projekt jest jeszcze w początkowej fazie, jego celem jest dostarczenie tej usługi w taki sposób, aby ułatwić cały proces programistom. Nie będą już musieli zajmować się kluczowymi problemami z zarządzaniem, które pojawią się podczas samodzielnego podpisywania kodu lub w ramach projektu z wieloma opiekunami.

pki

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Sigstore a GnuPG

    W celu sprawdzenia integralnosci zrodel (glownie) uzywam sygnatur GnuPG.

    Jakie sa przewagi tego Sigstore nad GnuPG?

    Odpowiedz
  2. M.

    Wszystko super, ale czemu Google? Mało wie o nas?

    Odpowiedz
    • Sigstore a GnuPG

      Dlatego, ze Goolag ma tylko troche do powiedzenia w przedsiewzieciu „Let’s Encrypt”. „Troche” to dla Goolagu „za malo”, wiec robi Sigstore.

      Odpowiedz

Odpowiedz