La Fundación Linux acaba de anunciar un nuevo servicio para verificar la autenticidad de software a través de la adopción de la firma de software cifrado.
El nuevo servicio se llama «sigstore» y el mismo permitirá a los desarrolladores incluir una firma cifrada en artefactos de software como por ejemplo ficheros de lanzamiento y archivos binarios.
Las firmas luego serán almacenadas en un registro público y lo bueno de todo esto es que el servicio será gratis para todos los desarrolladores y proveedores de software.
Como bien lo explica la fundación Linux en el comunicado del anuncio, hasta ahora para confirmar la autenticidad del software comprende basarse en un conjunto de enfoques y formatos de datos que muy a menudo son dispares. Las soluciones existentes están basadas en resúmenes que se almacenan en sistemas inseguros que por ende son susceptibles de manipulación y pueden dar lugar a ataques de cyber criminales, como el cambio de resúmenes o los usuarios que son víctimas de ataques dirigidos.
En la actualidad existen algunos proyectos de fuente abierta similares, con firmas cifradas en artefactos de lanzamiento de software, pero como fueron creados no son fáciles de utilizar por los desafíos que enfrentan los que gestionan el software debido a la administración de claves, al compromiso/revocación de claves y a la distribución de claves públicas y resúmenes de artefactos. Pero eso no es todo, a la misma vez los usuarios deben buscar en qué claves confiar y aprender los pasos necesarios para validar la firma.
Además también existen otros problemas en la forma en que se distribuyen los resúmenes y las claves públicas, las cuales a menudo se almacenan en sitios web susceptibles de ser pirateados o en un archivo README ubicado en un repositorio público de git.
Sigstore fue creado para poder resolver todos estos problemas anteriores mediante la utilización de claves efímeras de corta duración aprovechando registros públicos transparentes, abiertos y auditables.
Varias empresas participan en el proyecto y entre estos socios fundadores se encuentran Google, Red Hat y la Universidad Purdue.
Hablando sobre lo significativo de este lanzamiento el Jefe de Ingeniería de Seguridad de la oficina de Red Hat del CTO, Luke Hinds, comentó que «Sigstore permite que todas las comunidades de código abierto firmen su software y combina la procedencia, la integridad y la capacidad de descubrimiento para crear una cadena de suministro de software transparente y auditable. Al albergar esta colaboración en la Fundación Linux, podemos acelerar nuestro trabajo en sigstore y respaldar la adopción y el impacto continuos del software y el desarrollo de código abierto«.
Por su parte el CEO de ISRG | Let’s Encrypt, Josh Aas, también comentó que «Asegurar una implementación de software debe comenzar con asegurarnos de que estamos ejecutando el software que creemos que estamos. Sigstore representa una gran oportunidad para brindar más confianza y transparencia a la cadena de suministro de software de código abierto«.
Si necesitan más información sobre sigstore, pueden obtenerla en su sitio web.