[ad_1]
Sigstore zielt darauf ab, die Open-Source-Lieferkette für Software zu verbessern, indem der Prozess der Signatur kryptografischer Software vereinfacht wird.
Die Linux Foundation gab heute den Start von Sigstore bekannt, einer neuen gemeinnützigen Initiative, die darauf abzielt, die Sicherheit der Open Source-Software-Lieferkette zu verbessern, indem es Entwicklern erleichtert wird, kryptografische Signaturen für verschiedene Komponenten des Softwareentwicklungsprozesses einzuführen.
Sigstore ist für Softwareanbieter und Entwickler kostenlos, die damit Software-Artefakte wie Release-Dateien, Container-Images, Binärdateien und Stücklisten-Manifeste sicher signieren können. Signiermaterialien werden dann in einem manipulationssicheren öffentlichen Protokoll gespeichert. Der Code und die Operationstools des Dienstes werden vollständig Open Source sein und von der Sigstore-Community gewartet und entwickelt.
Gründungsmitglieder sind Red Hat, Google und die Purdue University. Die Idee für den Service kam von Luke Hinds, Leiter der Sicherheitstechnik im Büro des CTO von Red Hat. Er stellte das Konzept dem Google-Softwareentwickler Dan Lorenc vor, und die beiden begannen, daran zu arbeiten. Jetzt hat das Sigstore-Projekt eine „kleine, aber agile Community“, die an seiner Entwicklung arbeitet, sagt Lorenc.
Software-Lieferketten sind Sicherheitsrisiken ausgesetzt. Benutzer sind gezielten Angriffen sowie Kompromissen bei Konten und kryptografischen Schlüsseln ausgesetzt. Schlüssel sind für Software-Betreuer schwer zu verwalten. In Softwareprojekten wird häufig eine Liste der verwendeten Schlüssel verwendet, und die Betreuer müssen die Schlüssel der nicht mehr beteiligten Personen verwalten. Diese öffentlichen Schlüssel werden häufig in git repo-Readme-Dateien oder auf Websites gespeichert, auf denen sie möglicherweise manipuliert werden können und kein sicheres Vertrauen vermitteln.
Software-Signierung soll Vertrauen vermitteln. Der Prozess des digitalen Signierens von Software soll den Nachweis erbringen, dass der Code von einem bekannten Entwickler oder Softwareanbieter stammt und nicht manipuliert wurde. Dies gibt Benutzern das Vertrauen, dass sie Code aus einer vertrauenswürdigen Quelle verwenden.
Nur wenige Open-Source-Projekte signieren kryptografisch Software-Artefakte. „Wir haben fast die letzten neun Monate damit verbracht, mit verschiedenen Open Source-Betreuern und Communitys darüber zu sprechen, wie sie dies tun, wenn sie dies nicht tun warum nicht und dann Benutzerperspektive: Interessiert es Sie, wenn Leute unterschreiben? Woher weißt du, gegen welche Schlüssel du prüfen musst? „, Sagt Lorenc.
Ihr Team stellte fest, dass „eine große Menge im Raum fehlt“, fährt er fort. Die meisten Softwareprojekte tun überhaupt nichts, um die sichere Software-Signatur zu verbessern. Die Tool-Sets, die viele in der Vergangenheit verwendet haben, erfordern das persönliche Signieren der Schlüssel des anderen, was für Remote-Entwickler nicht funktioniert, fügt Hinds hinzu. Sigstore zielt darauf ab, die Einführung von Software-Signaturen zu vereinfachen und das Risiko zu senken.
„Wenn Sie mit dem Signieren beginnen, gehen Sie auch ein großes Risiko ein, weil … Sie einen privaten Schlüssel schützen müssen, und dies birgt wirklich das Risiko eines Projekts“, fährt Hinds fort. „Es ist eine Art Hühnchen und Ei: Die Notwendigkeit, Dinge zu unterschreiben, um ihren Benutzern Sicherheit zu bieten, aber sobald sie anfangen, Dinge zu unterschreiben, erhöhen sie den Einsatz um ihre Angriffsfläche und einen möglichen Schlüsselkompromiss.“
Wie es funktioniert
Um den Vorgang zu vereinfachen, verwendet Sigstore das OpenID-Authentifizierungsprotokoll, um Zertifikate mit Identitäten zu verbinden. Auf diese Weise können Entwickler bereits vorhandene Sicherheitskontrollen verwenden, z. B. Multifaktorauthentifizierung, Einmalkennwörter und Hardware-Token-Generatoren.
Bestehende Signaturlösungen dienen im Wesentlichen dazu, ein völlig neues Identitätssystem aufzubauen und den Benutzern private Schlüssel zu geben, für deren Schutz sie verantwortlich sind, erklärt Lorenc. Sigstore „huckepack von einem bestehenden Identitätssystem, mit dem jeder bereits zu arbeiten weiß, das bereits zusammengeschlossen ist und das bereits die Aufmerksamkeit von Sicherheitsexperten in Organisationen auf sich zieht.“
Sigstore-Benutzer verwenden seine Tools, um kurzlebige Schlüsselpaare zu erstellen. Der PKI-Dienst (Public Key Infrastructure) stellt nach der erfolgreichen OpenID-Verbindungsgewährung ein Signaturzertifikat bereit. Von dort aus werden Zertifikate in einem Zertifikatstransparenzprotokoll aufgezeichnet, und Software-Signaturmaterialien werden in ein Signaturtransparenzprotokoll aufgenommen, erklärt Sigstore auf seiner Website.
Diese Transparenzprotokolle sind eine öffentliche und manipulationssichere Aufzeichnung von Anmeldeereignissen, so Hinds. „Wenn dies verfügbar ist, kann jeder diese Protokolle prüfen oder überwachen, um festzustellen, wer was signiert. Dadurch wird es öffentlich transparent“, fügt er hinzu. Jeder kann Abfragen mit einem Artefakt-Digest durchführen oder Einträge zurückgeben, die mit einem bestimmten öffentlichen Schlüssel oder einer bestimmten E-Mail-Adresse signiert sind.
Da die Schlüssel nur von kurzer Dauer sind, gibt es keine Bedenken, dass Schlüssel möglicherweise übrig bleiben und anfällig für Kompromisse sind, sagt Hinds. Danach muss der Entwickler nichts mehr verwalten und alle Aktivitäten werden im Protokoll aufgezeichnet.
Heute ist der Start der Stiftung, sagt Hinds. Während das Transparenzprotokoll voll funktionsfähig ist, steht Sigstore Entwicklern noch nicht zur Verfügung. Was Entwickler signieren und speichern können, strebt das Team zunächst nach generischen Release-Artefakten wie kompilierten Binärdateien und Container-Images. Später planen sie, andere Formate zu erkunden und das Signieren zu manifestieren.
Das Team hofft, dass Sigstore später in diesem Jahr verfügbar sein wird, obwohl ein offizielles Datum noch nicht festgelegt wurde.
[ad_2]