Dieses neue kryptografische Protokoll ermöglicht Entwicklern die Erstellung von Lieferketten für Software oder Sicherheitsanwendungen.
Vor ein paar Tagen gab die Linux Foundation bekannt über einen Blog-Beitrag, der Start von OpenPubKey, das aus der Hand der Linux BastionZero und der Docker Foundation hervorgegangen ist.
OpenPubKey Es wird als Open-Source-Projekt präsentiert, Wer entwickelt das kryptografische Protokoll? für die Signierung von Docker-Containern, um zum Schutz des Open-Source-Software-Ökosystems für die Überprüfung kryptografischer Objekte beizutragen.
Über OpenPubkey
In der Ankündigung der Linux Foundation wird erwähnt, dass die Technologie vorhanden sei entwickelt als Gemeinschaftsprojekt von BastionZero und Docker mit dem Ziel, die digitale Signatur von Docker-Container-Images zu vereinfachen, um deren Austausch zu verhindern und den Build durch den erklärten Ersteller zu bestätigen.
Die Fähigkeiten von OpenPubKey sind nicht auf Container-Images beschränkt, wie die Technologie es sein kann verwenden die confirmar el Herkunft de jeder recurso, vermeiden el Ersatz von Abhängigkeiten und verbessern la Sicherheit der Vertriebskanäle für Datensätze. von ejemplo, diese Technik funktioniert die bestätigen Builds, einzelne Nachrichten und Commits. Er creador von Unterschrift brauche nur haben sind eine Konto in Service aktiviert die OpenID und die Verbraucher ist Gelegenheit de verificar la Unterschrift angebracht y confirmar su mit Verbindung mit der beanspruchten OpenID-Kennung.
„Die Linux Foundation ist stolz darauf, Gastgeber des OpenPubkey-Projekts zu sein“, sagte Jim Zemlin, Executive Director der Linux Foundation. „Wir glauben, dass diese Initiative eine entscheidende Rolle bei der Stärkung der Sicherheit der Open-Source-Software-Community spielen wird. „Wir ermutigen Entwickler und Organisationen, sich dieser gemeinsamen Anstrengung anzuschließen, um die Sicherheit der Software-Lieferkette zu verbessern.“
„Wir haben OpenPubkey als eigenes eigenständiges Protokoll eingeführt, um die Verwendung digitaler Signaturen mit OpenID Connect einfach und sicher zu machen“, sagte Ethan Heilman, Mitbegründer und CTO von BastionZero.
OpenPubKey es ähnlich al System Signstore erstellt von Google y vorher portiert an die Linux Foundation, aber se unterscheidet en erlangte das vereinfachen bedeutend die Umsetzung, die private Verwendung und Wartung durch Entfernen zentraler Serverkomponenten, die für die Führung eines öffentlichen Protokolls verantwortlich sind, das die Authentizität von Änderungen bestätigt y versichern el Betrieb von Behörde Zertifizierung
OpenPubKey nutzt die OpenID-Authentifizierungstechnologie und verknüpft die erstellte Signatur mit einem vorhandenen OpenID Connect-Anbieter. Mit anderen Worten: Mit OpenPubkey können Sie Verschlüsselungsschlüssel an bestimmte Benutzer statt an eine Zertifizierungsstelle binden. Die Technologie ist vollständig kompatibel mit bestehenden OpenID-Anbietern und erfordert keine Änderungen Ihrerseits, da sie von den Anbietern bereitgestellte Standard-ID-Token verwendet, sodass OpenPubKey-Änderungen in OpenID Connect implementiert werden können.
Der vom OpenID-Anbieter ausgegebene Token wird in ein Zertifikat umgewandelt welches die Kennung in OpenID Connect kryptografisch mit dem öffentlichen Schlüssel des Benutzers verknüpft. Mit dem zugehörigen Schlüssel signiert der Benutzer dann beliebige Daten und diese Signaturen kann mit Ihrer OpenID Connect ID überprüft werden. Gleichzeitig verwendet OpenPubKey ephemere Schlüssel, deren Lebensdauer begrenzt ist: Schlüssel werden während der Anmeldung mit OpenID generiert und gelöscht, wenn die Sitzung mit dem OpenID-Anbieter endet.
Es wird erwähnt, dass die Vereinfachung der Architektur durch bestimmte Kompromisse erreicht wird, die in manchen Situationen akzeptabel sind, in anderen jedoch nicht. Um die Abhängigkeit von OpenID-Anbietern zu verringern, deren Engagement oder Handlungen ihrer Mitarbeiter das System in Misskredit bringen könnten, wird vorgeschlagen, einen zusätzlichen, aber nicht obligatorischen MFA-Cosigner zu verwenden.
Wer sich für das Projekt interessiert, sollte wissen, dass es auf einer neutralen Plattform unter der Schirmherrschaft der Linux Foundation entwickelt wird, was die Abhängigkeit von einzelnen kommerziellen Unternehmen beseitigt und die Zusammenarbeit unter Beteiligung Dritter vereinfacht. Die OpenPubKey-Referenzimplementierung ist in Go und geschrieben wird unter der Apache 2.0-Lizenz vertrieben.
schließlich, wenn Sie sind daran interessiert, mehr darüber zu erfahren, Sie können die Details in der überprüfen folgenden Link