Pour gérer vos consentements :

sigstore : le Let’s Encrypt du code rejoint la Fondation Linux

sigstore est désormais officiellement sous l’aile de la Fondation Linux. Google et Red Hat emmènent ce projet communautaire. Leur promesse : sécuriser la supply chain logicielle en simplifiant la signature de code.

sigstore s’apparente à ce que Let’s Encrypt est pour les sites internet, au sens où il fournit des certificats gratuits. Mais ces certificats ont une particularité : ils sont éphémères. Pour leur donner une valeur potentiellement intemporelle, on les inscrit dans des « journaux de confiance » – au même titre que les clés dont ils dérivent.

Cette approche est censée éviter les inconvénients de la gestion de secrets à long terme… et les risques qui peuvent en découler. Notamment la modification indésirable de certains de ces secrets qui seraient stockés en des lieux insuffisamment sûrs.

La procédure d’émission de certificats s’appuie sur OpenID Connect pour assurer l’identification des utilisateurs. Dans un premier temps, sigstore permettra de signer des composants « génériques » : tarballs, binaires compilés, images de conteneurs… Les fichiers JAR et les manifestes font partie des cibles à plus longue échéance.

sigstore : Trillian en back-end

La plupart des briques du projet en sont encore au stade du prototype*. Exception faite du système de journalisation Rekor. On aurait pu penser qu’il reposerait sur une blockchain. Mais Google et consorts redoutent, entre autres, la fragilité des algorithmes de consensus face aux attaques par majorité. Autre argument brandi pour l’occasion contre ce type de technologie : elle finit par induire des points d’entrée centralisés, par exemple pour l’authentification ou la mise en forme canonique.

Dans l’absolu, Rekor est lui-même centralisé. Pour le moment en tout cas, puisque la mise en place d’un mécanisme de commérage (gossip ; communication entre nœuds) n’est pas exclue. Mais en l’état, on préfère nous assurer que toute entité intéressée peut alimenter les instances qu’elle désire.

En back-end à Rekor, il y a Trillian, que Let’s Encrypt utilise déjà. Ce datastore implémente les bases posées dans le cadre de l’initiative Certificate Transparency (et schématisées ci-dessous). Google avait lancé cette dernière voilà près de dix ans, en réponse à la compromission d’une autorité de certification néerlandaise.

* Parmi ces briques, Cosign, destiné à signer les images de conteneurs.

Illustration principale © Maksim Kabakou – shutterstock.com

Recent Posts

Violation de données : phishing et ransomware au top des menaces

Les attaques informatiques par hameçonnage et ransomwares ont augmenté respectivement de 11 et 6% l'an…

1 jour ago

IBM Think 2021 : IA à tous les étages

IBM fait le plein d'annonces solutions à l'occasion de sa conférence Think 2021. Une édition…

3 jours ago

Jamf, expert Apple, acquiert Wandera 400 M$

Wandera étend les capacités de sécurité "zero trust" mobile/cloud de Jamf, spécialiste des solutions de…

3 jours ago

Tiger Lake : au tour des stations de travail mobiles

Tout juste officialisées, les puces Tiger Lake-H arrivent sur plusieurs stations de travail mobiles Dell…

3 jours ago

Automatisation : Appian met à niveau sa plateforme low code

Appian met à niveau sa plateforme d'automatisation low code. L'accès aux données et le développement…

3 jours ago

Lura : une passerelle API chez la Fondation Linux

Destiné à développer des passerelles API, le framework KrakenD passe sous l'aile de la Fondation…

3 jours ago