Aquest nou protocol criptogràfic permet als desenvolupadors crear cadenes de subministrament de programari o aplicacions de seguretat.
Ja fa alguns dies la Fundació Linux, va donar a conèixer mitjançant una publicació de bloc, el llançament d'OpenPubKey, el qual vaig néixer de la mà de la Fundació Linux BastionZero i Docker.
OpenPubKey es presenta com un projecte de codi obert, que desenvolupa el protocol criptogràfic per a la signatura de contenidors Docker, per ajudar a protegir l'ecosistema de programari de codi obert per a la verificació d'objectes criptogràfics.
Sobre OpenPubkey
A l'anunci de la Fundació Linux, s'esmenta que la tecnologia va ser desenvolupada com un projecte conjunt de BastionZero i Docker amb l'objectiu de simplificar la signatura digital de les imatges del contenidor Docker per evitar-ne la substitució i confirmar la compilació per part del creador declarat.
Les capacitats d'OpenPubKey no es limiten a imatges de contenidors, ja que la tecnologia es pot utilitzar per confirmar el origen de qualsevol recurs, Evitar el reemplaçament de dependències i millorar la seguretat dels canals de distribució de conjunts de dades. Per EXEMPLE, aquesta tècnica funciona per validar compilacions, missatges individuals i confirmacions. El Creador de la signatura només necessita tenir una compte en un servei habilitat per OpenID, i el consumidor té la oportunitat de verificar la signatura adjunta y confirmar su ambexió amb l'identificador OpenID reclamat.
"La Fundació Linux s'enorgulleix d'albergar el Projecte OpenPubkey", va dir Jim Zemlin, Director Executiu de la Fundació Linux. «Creiem que aquesta iniciativa exercirà un paper fonamental en l'enfortiment de la seguretat de la comunitat de programari de codi obert. Encoratgem els desenvolupadors i organitzacions a unir-se a aquest esforç col·laboratiu per millorar la seguretat de la cadena de subministrament de programari».
"Introduïm OpenPubkey com el seu propi protocol independent perquè sigui fàcil i segur l'ús de firmes digitals amb OpenID Connect", va dir Ethan Heilman, cofundador i CTO de BastionZero.
OpenPubKey es similar al sistema Sigstore creat per Google y prèviament portat a la Fundació Linux, , però se diferenciar en que simplifica significativament la implementació, el ús i manteniment en eliminar els components centralitzats del servidor responsables de mantenir un registre públic que confirma l'autenticitat de canvis y assegurar el FUNCIONAMENT de la Autoritat de Certificació
OpenPubKey utilitza la tecnologia d'autenticació OpenID i vincula la signatura creada a un proveïdor d'OpenID Connect existent. En altres paraules, OpenPubkey permet vincular claus de xifratge a usuaris específics en comptes d'una autoritat de certificació. La tecnologia és totalment compatible amb els proveïdors d'OpenID existents i no requereix cap canvi de la seva part atès que utilitza tokens d'ID estàndard proporcionats pels proveïdors, cosa que permet implementar canvis d'OpenPubKey a OpenID Connect.
El token emès pel proveïdor d'OpenID es transforma en un certificat que vincula criptogràficament l'identificador a l'OpenID Connect amb la clau pública de l'usuari. Després, l'usuari utilitza la clau associada per signar qualsevol dada i aquestes signatures es poden verificar amb el vostre identificador d'OpenID Connect. Al mateix temps, OpenPubKey utilitza claus efímeres, la vida útil de les quals és limitada: les claus es generen durant l'inici de sessió amb OpenID i s'eliminen quan finalitza la sessió amb el proveïdor d'OpenID.
S'esmenta que la simplificació de l'arquitectura s'aconsegueix mitjançant certs compromisos que són acceptables en algunes situacions, però no en d'altres. Per reduir la dependència dels proveïdors d'OpenID, el compromís o les accions del personal del qual poden desacreditar el sistema, es proposa utilitzar un MFA-Cosigner addicional, però no obligatori.
Per als interessats en el projecte, han de saber que es desenvoluparà en una plataforma neutral sota els auspicis de la Fundació Linux, cosa que eliminarà la dependència d'empreses comercials individuals i simplificarà la col·laboració amb la participació de tercers. La implementació de referència d'OpenPubKey està escrita a Go i distribuïda sota la llicència Apache 2.0.
Finalment si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent enllaç.