Linux Foundation maakt code signing makkelijker

Aan de dienst, Sigstore genaamd, werken naast de Linux Foundation, Red Hat, Google en de Purdue Universiteit mee. Sigstore is gratis voor softwareontwikkelaars en -leveranciers. Ze kunnen hem gebruiken om allerhande bestanden te voorzien van een digitale handtekening. De aldus ondertekende bestanden worden in een zwaar beveiligde publieke log opgeslagen. De code en toolings van Sigstore zullen volledig open source zijn. De Sigstore-community ontwikkelt en onderhoudt de code.

Een digitale handtekening wordt deel van het bestand dat de programmacode bevat. Het betreffende programma kan dan niet meer ongemerkt gewijzigd worden omdat de handtekening dan niet meer geldig is. Een digitale handtekening moet gebruikers het vertrouwen geven dat er met de code die zij gebruiken niets kwaadaardigs is gebeurd en bovendien van een vertrouwde ontwikkelaar of leverancier komt.

Zoals Let's Encrypt

Aanleiding voor het starten van Sigstore was het feit dat maar weinig open sourceontwikkelaars hun producten van digitale handtekeningen voorzien. Een belangrijke reden is dat het ook riskant kan zijn omdat het betekent dat ze ook een private key moeten beschermen, die op zijn beurt weer het doelwit van aanvallers kan worden. Sigstore verkleint dat risico, volgens de makers, en vergemakkelijkt het proces van code signing. De initiatiefnemers nemen daarbij Let’s Encrypt als voorbeeld, dat met gratis en veel beter gebruiksgemak heeft gezorgd voor een zeer sterk toegenomen gebruik van TLS/SSL-certificaten.

Sigstore maakt gebruik van het OpenID-authenticatieprotocol om certificaten te verbinden aan identiteiten. Ontwikkelaars kunnen daardoor security controls gebruiken die ze al hebben, zoals multifactorauthenticatie en eenmalige wachtwoorden. Sigstore biedt de mogelijkheid van automatisch toegekende sleutelparen die maar kort geldig blijven, wat weer beheer scheelt voor de ontwikkelaars. Certificaten en de software signing materials worden opgeslagen in aparte transparante logs. Beide zijn openbaar.

De Linux Foundation verwacht Sigstore later dit jaar beschikbaar te hebben. Een precieze datum is er nog niet.