Una nueva herramienta de firma de código abierto de la Fundación Linux podría hacer que las cadenas de suministro de software program seguras sean universales


Sigstore podría eliminar los dolores de cabeza asociados con la tecnología de firma de computer software real a través de libros de contabilidad públicos.

sigstore.jpg

La Fundación Linux, en asociación con Crimson Hat, Google y Purdue College, ha anunciado un nuevo proyecto de firma digital, potencialmente eliminando muchos de los dolores de cabeza que vienen con la protección de computer software, archivos, imágenes y binarios de código abierto.

Llamado sigstore, la nueva plataforma de firma criptográfica utiliza registros públicos similares (pero no iguales) a las criptomonedas y otras tecnologías de cadena de bloques, cuyo resultado remaining elimina muchos de los riesgos de seguridad asociados con las tecnologías tradicionales de firma digital. A diferencia de usar blockchains reales, sigstore united states of america registros de transparencia, que según dijo son más resistentes a los ataques de la mayoría, evitan la canonicalización y son más maduros.

La plataforma está diseñada para proyectos de código abierto, que según la Fundación Linux rara vez se firman criptográficamente debido a desafíos de administración de claves, compromiso o revocación de claves y distribución de claves públicas y resúmenes de artefactos. Junto con los problemas de manage de claves, muchos proyectos de código abierto también almacenan claves en sitios web vulnerables a ataques o en repositorios públicos de git. «A su vez, los usuarios deben buscar en qué claves confiar y aprender los pasos necesarios para validar la firma», dijo la Fundación Linux. dijo en un comunicado de prensa.

VER: Comandos de regulate de servicios de Linux (TechRepublic High quality)

Además, todavía tiene que haber un estándar de firma digital common, en el que sigstore pretende convertirse. La Fundación Linux explain sigstore como un proyecto sin fines de lucro diseñado para el bien público que «será de uso gratuito para todos los desarrolladores y proveedores de software package, con el código y las herramientas de operación de sigstore siendo 100% de código abierto y mantenido / desarrollado por la comunidad de sigstore».

Luke Hinds, líder de ingeniería de seguridad en la oficina de Pink Hat del CTO, dijo que «sigstore permite que todas las comunidades de código abierto firmen su application y combina procedencia, integridad y capacidad de descubrimiento para crear una cadena de suministro de application transparente y auditable».

La tecnología detrás de sigstore no es nada nuevo: aprovecha Infraestructura de clave pública x509 para generar pares de claves efímeros de corta duración que el servicio de infraestructura de claves públicas sigstore convierte en un certificado de firma cuando se OpenID Se establece la conexión. En ese momento, el certificado se envía al registro de transparencia, que introduce una raíz de confianza vinculada a la cuenta OpenID del usuario. Una vez que se completa la firma, las claves se descartan, eliminando la necesidad de administración, rotación o revocación de claves.

VER: Guía de Git para profesionales de TI (PDF gratuito) (TechRepublic)

Los primeros tipos de datos que se podrán firmar bajo sigstore son artefactos de lanzamiento genéricos como tarballs, binarios compilados e imágenes de contenedor, con planes para agregar jar, firma de manifiesto y otros formatos en el futuro.

Actualmente, sigstore es funcional, pero el proyecto lo explain como «en desarrollo de prototipo», lo que significa que no está disponible para uso normal. Los funcionarios dijeron que sigstore ha creado un registro de transparencia servidor-cliente completamente funcional llamado rekor, y cualquiera puede crear su propia instancia de rekor si realiza su propia firma.

A partir de ahora, rekor admite infraestructuras de clave pública GPG, x509 y Minisign. Rekor también tiene una interfaz OpenAPI, y el proyecto sigstore está animando a los usuarios interesados ​​a unirse su espacio de trabajo de Slack para contribuir y aprender más.

Ver también



Enlace a la noticia authentic