{"id":1622,"date":"2021-04-19T17:34:56","date_gmt":"2021-04-19T15:34:56","guid":{"rendered":"https:\/\/ekiwi.de\/?p=1622"},"modified":"2021-04-19T17:34:56","modified_gmt":"2021-04-19T15:34:56","slug":"sigstore-eine-kooperation-mit-linux-verspricht-mehr-sicherheit-fuer-software-lieferketten-durch-krypto-technologie","status":"publish","type":"post","link":"https:\/\/ekiwi.de\/index.php\/1622\/sigstore-eine-kooperation-mit-linux-verspricht-mehr-sicherheit-fuer-software-lieferketten-durch-krypto-technologie\/","title":{"rendered":"Sigstore &#8211; Eine Kooperation mit Linux verspricht mehr Sicherheit f\u00fcr Software-Lieferketten durch Krypto-Technologie"},"content":{"rendered":"<p>Mit dem Ziel, die Sicherheit innerhalb von Software-Lieferketten zu verbessern, hat der Open-Source-Gigant Linux, in Zusammenarbeit mit Red Hat und Google, das Prinzip \u201csigstore\u201d entwickelt. Dadurch soll die Einf\u00fchrung von kryptographischer Software-Signierung erm\u00f6glicht werden, die von transparenten Protokolltechnologien unterst\u00fctzt wird. Das erm\u00f6glicht es Software-Anwendungsentwicklern, Software-Artefakte wie Release-Dateien, Container-Images und Binaries sicher zu signieren. Das Signiermaterial wird dann in einem manipulationssicheren, \u00f6ffentlichen Protokoll gespeichert. F\u00fcr das Beispiel einer gut verschl\u00fcsselten Webseite <a href=\"https:\/\/www.cookiecasino.com\/de\/games\/video-slots\">hier klicken<\/a>.<\/p>\n<p>Der Service soll f\u00fcr alle Entwickler und Softwareanbieter kostenlos sein und der sigstore-Code und das Betriebs-Tooling werden von der sigstore-Community entwickelt.<\/p>\n<p>Zu den Gr\u00fcndungsmitgliedern der Community geh\u00f6ren Red Hat, Google und die Purdue University in Indiana. &#8222;[Wir k\u00f6nnen sagen, dass] sigstore allen Open-Source-Communities erm\u00f6glicht, ihre Software zu signieren und Integrit\u00e4t mit R\u00fcckverfolgbarkeit zu kombinieren, um eine transparente und \u00fcberpr\u00fcfbare Software-Lieferkette zu schaffen&#8220;, erkl\u00e4rte Luke Hinds, Security Engineering Lead bei Red Hat. &#8222;Indem wir diese Kooperation im Hause der Linux Foundation unterbringen, k\u00f6nnen wir unsere Arbeit im Bereich sigstore beschleunigen und damit gleichzeitig die fortlaufende Anwendung und Entwicklung von Open-Source-Software unterst\u00fctzen.&#8220;<\/p>\n<p>Das Verst\u00e4ndnis und die Beurteilung von der Herkunft und Authentizit\u00e4t einer Software beruht auf einer Reihe von oft unterschiedlichen Ans\u00e4tzen und Datenformaten. Die bisher verf\u00fcgbaren L\u00f6sungen verlassen sich oft auf Digests, die auf unsicheren und oft f\u00fcr Manipulationen anf\u00e4lligen Systemen gespeichert sind. Dadurch kann es zu diversen Angriffen kommen, wie z. B. das Austauschen dieser Digests oder dass Benutzer Opfer von gezielten Cyber-Angriffen werden.<\/p>\n<p>Bisher signieren nur sehr wenige Open-Source-Projekte Software-Release-Artefakte kryptografisch. Das liegt zum gro\u00dfen Teil an den Herausforderungen, denen Software-Maintainer bei der Schl\u00fcsselverwaltung, Schl\u00fcsselkompromittierung\/-widerruf und der Verteilung von \u00f6ffentlichen Schl\u00fcsseln und Artefakt-Digests oft gegen\u00fcberstehen.<\/p>\n<p>Gleichzeitig m\u00fcssen die Benutzer wissen, welchen Schl\u00fcsseln sie vertrauen k\u00f6nnen und welche Schritte zur Validierung der Signierung erforderlich sind. Weitere Probleme bestehen au\u00dferdem darin, wie Digests und \u00f6ffentliche Schl\u00fcssel verteilt werden. Oft sind diese auf f\u00fcr Hacker-Angriffe anf\u00e4lligen Webseiten oder in einer README-Datei in einem \u00f6ffentlichen Git-Repository gespeichert. Sigstore geht diese Probleme an, indem es kurzlebige ephemere Schl\u00fcssel mit einem Stammzertifikat verwendet, das von einem offenen und \u00fcberpr\u00fcfbaren, \u00f6ffentlichen Transparency Protocol genutzt wird.<\/p>\n<p>&#8222;Sigstore ist die Antwort auf alle Fragen zum Thema Softwarequellen und -eigentum. Dadurch k\u00f6nnen wir die richtigen Wege finden, um Softwareziele, Verbraucher, Compliance (legal und anderweitig) anzugehen und dadurch kriminelle Netzwerke zu identifizieren und kritische Software-Infrastruktur abzusichern. Dies wird der Diskussion um die Sicherheit innerhalb der Software-Lieferkette einen neuen Tenor verleihen&#8220;, so Santiago Torres-Arias, Assistenzprofessor f\u00fcr Elektro- und Computertechnik an der Universit\u00e4t von Purdue und Gr\u00fcnder des in-toto Projekts.<\/p>\n<p>&#8222;Wir bei Red Hat wissen schon lange, wie wichtig es ist, Code digital zu signieren. Deshalb bieten wir seit vielen Jahren in allen unseren verteilten Softwarepaketen als Teil des RPM-Paketsystems eine Verifizierbarkeit durch kryptografisch sichere Signaturen an. Diese Prinzipien auf offene Art und Weise auf immer mehr Softwareentwickler, Maintainer und Paketierer auszuweiten, ist ein wichtiger Schritt f\u00fcr das gesamte digitale \u00d6kosystem&#8220;, sagt Jan H Wildeboer, Red Hat EMEA Open Source Affairs.<\/p>","protected":false},"excerpt":{"rendered":"<p>Mit dem Ziel, die Sicherheit innerhalb von Software-Lieferketten zu verbessern, hat der Open-Source-Gigant Linux, in Zusammenarbeit mit Red Hat und<\/p>\n","protected":false},"author":2,"featured_media":1623,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[10],"tags":[],"class_list":["post-1622","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"_links":{"self":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/1622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/comments?post=1622"}],"version-history":[{"count":0,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/1622\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media\/1623"}],"wp:attachment":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media?parent=1622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/categories?post=1622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/tags?post=1622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}