La Fundación Linux estrena el proyecto Sigstore para …



Sigstore tiene como objetivo mejorar la cadena de suministro de computer software de código abierto simplificando el proceso de firma de computer software criptográfico.

La Fundación Linux anunció hoy el lanzamiento de Sigstore, una nueva iniciativa sin fines de lucro que tiene como objetivo mejorar la seguridad de la cadena de suministro de software de código abierto al facilitar que los desarrolladores adopten la firma criptográfica para diferentes componentes del proceso de desarrollo de application.

Sigstore será gratuito para los proveedores y desarrolladores de program, que pueden usarlo para firmar de forma segura artefactos de software como archivos de lanzamiento, imágenes de contenedores, binarios y manifiestos de lista de materiales. Luego, los materiales de firma se almacenan en un registro público a prueba de manipulaciones. El código del servicio y las herramientas de operación serán completamente de código abierto y serán mantenidos y desarrollados por la comunidad Sigstore.

Los miembros fundadores incluyen Red Hat, Google y Purdue College. La idea del servicio surgió de Luke Hinds, líder de ingeniería de seguridad en la Oficina del CTO de Red Hat. Le presentó el concepto al ingeniero de application de Google, Dan Lorenc, y los dos comenzaron a trabajar en él. Ahora el proyecto Sigstore tiene una «comunidad pequeña pero ágil» trabajando en su desarrollo, dice Lorenc.

Las cadenas de suministro de application enfrentan riesgos de seguridad. Los usuarios están expuestos a ataques dirigidos, así como al compromiso de la cuenta y la clave criptográfica. Las claves son difíciles de administrar para los mantenedores de software. Los proyectos de application a menudo tienen una lista de claves en uso, y los encargados de mantenimiento deben manejar las claves de las personas que ya no participan. Estas claves públicas a menudo se almacenan en sitios web o archivos léame de repositorio de git, donde pueden ser susceptibles de manipulación y no transmiten confianza de forma segura.

La firma de computer software está destinada a transmitir confianza. El proceso de firma electronic de computer software está destinado a proporcionar evidencia de que el código proviene de un desarrollador o proveedor de program conocido y no ha sido manipulado. Esto les da a los usuarios la confianza de que están usando código de una fuente confiable.

Pero pocos proyectos de código abierto firman criptográficamente artefactos de software. «Pasamos casi los últimos nueve meses hablando con diferentes mantenedores de código abierto y comunidades sobre cómo están haciendo esto, si no lo están haciendo (entonces) por qué no, y luego la perspectiva del usuario: ¿te importa si las personas están ¿Firmar? ¿Cómo saber con qué claves verificar? » Lorenc dice.

Su equipo descubrió que «faltaba una gran cantidad de espacio», continúa. La mayoría de los proyectos de application no hacen nada para mejorar la firma segura de application. Los conjuntos de herramientas que muchos han usado en el pasado requieren firmar las claves de los demás en persona, lo que no funciona para desarrolladores remotos, agrega Hinds. Sigstore tiene como objetivo facilitar la adopción y reducir el riesgo de la firma de program.

«Cuando asumes la firma, también asumes un gran riesgo, porque … tienes que proteger una clave privada y esto realmente expone el riesgo de un proyecto», continúa Hinds. «Es una especie de gallina y huevo: la necesidad de firmar cosas para brindar seguridad a sus usuarios, pero una vez que comienzan a firmar, suben la apuesta en torno a su superficie de ataque y un posible compromiso clave».

Cómo funciona
Para simplificar el proceso, Sigstore se basa en el protocolo de autenticación OpenID para conectar los certificados a las identidades. Esto permite a los desarrolladores usar controles de seguridad que ya tienen, como autenticación multifactor, contraseñas de un solo uso y generadores de tokens de hardware.

Las soluciones de firma existentes funcionan esencialmente para construir un sistema de identidad completamente nuevo y brindar a los usuarios claves privadas que son responsables de proteger, explica Lorenc. Sigstore «aprovecha un sistema de identidad existente con el que todo el mundo ya sabe cómo trabajar, que ya está federado y que ya recibe toda la atención de los profesionales de seguridad en las organizaciones».

Los usuarios de Sigstore utilizan sus herramientas para crear pares de claves efímeros de corta duración. Su servicio de infraestructura de clave pública (PKI) proporciona un certificado de firma después de la concesión exitosa de la conexión OpenID. A partir de ahí, los certificados se registran en un registro de transparencia de certificados y los materiales de firma de software pasan a un registro de transparencia de firmas, Sigstore explica en su sitio net.

Estos registros de transparencia son un registro público y a prueba de manipulaciones de los eventos de inicio de sesión, señala Hinds. «Al tener eso disponible, cualquiera puede auditar o monitorear estos registros para saber quién está firmando qué. Lo hace públicamente transparente», agrega. Cualquiera puede realizar consultas utilizando un resumen de artefactos o devolver entradas firmadas por una clave pública o una dirección de correo electrónico específicas.

Debido a que las claves son de corta duración, no hay preocupación por que las claves queden potencialmente abandonadas y sean vulnerables al compromiso, dice Hinds. Después de eso, no queda nada para que el desarrollador administre y toda la actividad se registra en el registro.

Hoy marca el lanzamiento de la fundación, dice Hinds. Si bien el registro de transparencia es completamente funcional, Sigstore aún no está disponible para los desarrolladores. En cuanto a lo que los desarrolladores podrán firmar y almacenar, el equipo apunta primero a artefactos de lanzamiento genéricos, como binarios compilados e imágenes de contenedor. Más adelante, planean explorar otros formatos y firmas de manifiestos.

El equipo espera que Sigstore esté disponible a finales de este año, aunque aún no se ha determinado una fecha oficial.

Kelly Sheridan es la editora de personal de Dark Looking at, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first