La Linux Foundation ha annunciato Sigstore, un’iniziativa no-profit volta a garantire maggiore sicurezza per i software open-source attraverso la possibilità di firmare crittograficamente con facilità le varie componenti dei progetti.

sigstore will empower software developers to securely sign software artifacts such as release files, container images and binaries. Signing materials are then stored in a tamper-proof public log.

sigstore permetterà agli sviluppatori di firmare in maniera sicura gli artifact software come i release file, le immagini dei container ed i binari. Le componenti usate per la firma verranno archiviate in un log pubblico sigillato (quindi immodificabile).

In questo modo l’utilizzatore finale potrà avere la garanzia relativa alla provenienza e l’autenticità del software che intende utilizzare.

Tra gli aspetti che, per quanto scontati quando si parla di Linux Foundation, in realtà non lo sono affatto, c’è la gratuità del servizio:

The service will be free to use for all developers and software providers, with the sigstore code and operation tooling developed by the sigstore community.

Il servizio sarà gratuitamente utilizzabile da tutti gli sviluppatori e software provider, con il codice di sigstore e dei tool operativi sviluppato dalla community di sigstore.

Ma chi fa parte di questa community? I membri fondatori sono Red Hat, Google e la Purdue University, quindi nella sostanza, almeno per i primi due nomi, si parte con il gota dell’open-source, ma c’è da scommettere come altre aziende si aggiungeranno nel breve termine. È indubbio infatti come il problema sia sentito dalla community, tanto che nell’annuncio viene specificamente spiegato quale limite attuale sigstore si pone a risolvere:

Very few open source projects cryptographically sign software release artifacts. This is largely due to the challenges software maintainers face on key management, key compromise / revocation and the distribution of public keys and artifact digests. […] sigstore seeks to solve these issues by utilization of short lived ephemeral keys with a trust root leveraged from an open and auditable public transparency logs.

Pochissimi progetti open source firmano crittograficamente gli artifact relativi alle proprie release. Questo è in gran parte dovuto alle sfide che i manutentori del software devono affrontare sulla gestione delle chiavi, la compromissione / revoca delle chiavi e la distribuzione delle chiavi pubbliche e dei digest degli artifact. […] sigstore cerca di risolvere questi problemi utilizzando chiavi effimere di breve durata con una radice di fiducia sfruttata da un registro di trasparenza pubblico aperto e verificabile.

Quindi nella sostanza viene utilizzato un approccio simile alla blockchain, ma senza quelli che sono (secondo i promotori del progetto) i limiti di questa tecnologia. Questi infatti vengono risolti dall’utilizzo di log trasparenti, evitando l’uso di entry point centralizzati e dell’esposizione degli algoritmi di consensus propri delle attuali blockchain.

L’obiettivo in ogni caso è identico: le informazioni di verifica sono pubbliche ed il contenuto può essere così verificato in autonomia, garantendo l’autenticità di quanto si sta utilizzando.

Tutte le specifiche del caso sono pubblicate all’indirizzo https://sigstore.dev/ che contiene un’ampia panoramica sulla struttura del progetto ed i suoi potenziali utilizzi.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.