La Fundación Linux, junto con Red Hat, Google y la Universidad de Purdue (que tiene su campus principal en Indiana, Estados Unidos) han creado el proyecto sigstore o “sigstore project” que quiere ofrecer protección de la cadena de suministro. No olvidemos que el super ataque informático que sufrió SolarWinds a finales de 2020 consiguió aterrizar en muchas empresas e instituciones públicas del mundo tras conseguir intervenir su cadena de suministro.
Es decir, los atacantes comprometieron la seguridad de un tercero, en ese caso SolarWinds, y consiguieron, con ello, infiltrarse en compañías y entidades públicas que usan sus servicios, como Microsoft, la NASA o Cisco (y casi todas las compañías que integran la lista de Fortune 500). Y, sobre esta base, Linux y sus socios han trabajado en un nuevo servicio de software presentado ahora.
Funcionamiento de sigstore
Sobre este planteamiento acerca de la situación de SolarWinds, sigstore pretende mejorar la seguridad de la cadena de suministro de un software permitiendo a los desarrolladores firmar de forma segura programas de software, archivos, imágenes de contenedores y demás. Este servicio será gratuito para todos los desarrolladores y proveedores de software.
Eso sí, cabe decir que el código de sigstore y las herramientas que se utilizarán para que esto funcione aún están siendo desarrolladas por la comunidad.
Este sigstore utiliza el protocolo de autenticación OpenID que vinculan certificados con identidades. "Entendemos que la gestión de claves a largo plazo es difícil, por lo que hemos adoptado un enfoque único de emisión de certificados de corta duración basados en proveedores de identidad de OpenID Connect", han explicado los portavoces de Google. Sigstore también almacena toda la actividad en Registros de Transparencia (o Transparency Logs), respaldados por Trillian, para poder detectar más fácilmente si hay algíun tipo de compromiso y poder atajar estos problemas en el momento en que se produzcan.
El objetivo de sigstore es hacer que firmar y verificar el código sea sencillo y para ello se ha creado una "Root CA" o autoridad de certificación raíz especial que estará disponible de forma gratuita. El cliente de firma de sigstore genera un par de claves de corta duración y se pone en contacto con la PKI (infraestructura de clave pública) de sigstore, que será gestionada por la Fundación Linux. Este servicio se encargará de comprobar si la concesión de OpenID connect es correcta y emite un certificado basado en las claves previar para firmar el software.
Con todo esto, aunque esté intervenido el código fuente de un software, "sigstore permite a todas las comunidades de código abierto firmar su software con el objetivo de que la cadena de suministro de software sea transparente y controlable", según ha explicado Luke Hinds, Jefe de Ingeniería de Seguridad de la oficina del CTO de Red Hat.