Sigstore – Eine Kooperation mit Linux verspricht mehr Sicherheit für Software-Lieferketten durch Krypto-Technologie

Mit dem Ziel, die Sicherheit innerhalb von Software-Lieferketten zu verbessern, hat der Open-Source-Gigant Linux, in Zusammenarbeit mit Red Hat und Google, das Prinzip “sigstore” entwickelt. Dadurch soll die Einführung von kryptographischer Software-Signierung ermöglicht werden, die von transparenten Protokolltechnologien unterstützt wird. Das ermöglicht es Software-Anwendungsentwicklern, Software-Artefakte wie Release-Dateien, Container-Images und Binaries sicher zu signieren. Das Signiermaterial wird dann in einem manipulationssicheren, öffentlichen Protokoll gespeichert. Für das Beispiel einer gut verschlüsselten Webseite hier klicken.

Der Service soll für alle Entwickler und Softwareanbieter kostenlos sein und der sigstore-Code und das Betriebs-Tooling werden von der sigstore-Community entwickelt.

Zu den Gründungsmitgliedern der Community gehören Red Hat, Google und die Purdue University in Indiana. „[Wir können sagen, dass] sigstore allen Open-Source-Communities ermöglicht, ihre Software zu signieren und Integrität mit Rückverfolgbarkeit zu kombinieren, um eine transparente und überprüfbare Software-Lieferkette zu schaffen“, erklärte Luke Hinds, Security Engineering Lead bei Red Hat. „Indem wir diese Kooperation im Hause der Linux Foundation unterbringen, können wir unsere Arbeit im Bereich sigstore beschleunigen und damit gleichzeitig die fortlaufende Anwendung und Entwicklung von Open-Source-Software unterstützen.“

Das Verständnis und die Beurteilung von der Herkunft und Authentizität einer Software beruht auf einer Reihe von oft unterschiedlichen Ansätzen und Datenformaten. Die bisher verfügbaren Lösungen verlassen sich oft auf Digests, die auf unsicheren und oft für Manipulationen anfälligen Systemen gespeichert sind. Dadurch kann es zu diversen Angriffen kommen, wie z. B. das Austauschen dieser Digests oder dass Benutzer Opfer von gezielten Cyber-Angriffen werden.

Bisher signieren nur sehr wenige Open-Source-Projekte Software-Release-Artefakte kryptografisch. Das liegt zum großen Teil an den Herausforderungen, denen Software-Maintainer bei der Schlüsselverwaltung, Schlüsselkompromittierung/-widerruf und der Verteilung von öffentlichen Schlüsseln und Artefakt-Digests oft gegenüberstehen.

Gleichzeitig müssen die Benutzer wissen, welchen Schlüsseln sie vertrauen können und welche Schritte zur Validierung der Signierung erforderlich sind. Weitere Probleme bestehen außerdem darin, wie Digests und öffentliche Schlüssel verteilt werden. Oft sind diese auf für Hacker-Angriffe anfälligen Webseiten oder in einer README-Datei in einem öffentlichen Git-Repository gespeichert. Sigstore geht diese Probleme an, indem es kurzlebige ephemere Schlüssel mit einem Stammzertifikat verwendet, das von einem offenen und überprüfbaren, öffentlichen Transparency Protocol genutzt wird.

„Sigstore ist die Antwort auf alle Fragen zum Thema Softwarequellen und -eigentum. Dadurch können wir die richtigen Wege finden, um Softwareziele, Verbraucher, Compliance (legal und anderweitig) anzugehen und dadurch kriminelle Netzwerke zu identifizieren und kritische Software-Infrastruktur abzusichern. Dies wird der Diskussion um die Sicherheit innerhalb der Software-Lieferkette einen neuen Tenor verleihen“, so Santiago Torres-Arias, Assistenzprofessor für Elektro- und Computertechnik an der Universität von Purdue und Gründer des in-toto Projekts.

„Wir bei Red Hat wissen schon lange, wie wichtig es ist, Code digital zu signieren. Deshalb bieten wir seit vielen Jahren in allen unseren verteilten Softwarepaketen als Teil des RPM-Paketsystems eine Verifizierbarkeit durch kryptografisch sichere Signaturen an. Diese Prinzipien auf offene Art und Weise auf immer mehr Softwareentwickler, Maintainer und Paketierer auszuweiten, ist ein wichtiger Schritt für das gesamte digitale Ökosystem“, sagt Jan H Wildeboer, Red Hat EMEA Open Source Affairs.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.