Nuovo protocollo crittografico mira a rafforzare la sicurezza del software open-source
Nuovo protocollo crittografico per sicurezza software open-source
OpenPubkey di BastionZero, che è un nuovo protocollo crittografico progettato per rafforzare l’ecosistema del software open-source, è ora un progetto open-source della Linux Foundation. Docker sta anche integrando OpenPubkey, in modo che tu possa usarlo per la firma dei contenitori. Questa innovativa tecnologia crittografica promette una maggiore sicurezza attraverso l’autenticazione senza password di fiducia zero.
OpenPubkey fornisce questa autenticazione apportando una modifica lato client a OpenID Connect. Connect è un protocollo di autenticazione basato sul framework OAuth 2.0. Insieme, queste tecnologie semplificano il modo in cui i programmatori possono verificare l’identità di un utente. Il Token OpenID può quindi essere associato a una chiave pubblica detenuta dall’utente. Questa chiave trasforma un Token ID in un certificato che lega criptograficamente un’identità OpenID Connect a una chiave pubblica.
Inoltre: I migliori servizi VPN (e come scegliere quello giusto per te)
Questo “PK Token” può quindi essere utilizzato per firmare messaggi, e queste firme possono essere autenticate e attribuite all’identità OpenID Connect dell’utente. Fondamentalmente, OpenPubkey trasforma un Identity Provider (IdP) OpenID Connect in un’Authority (CA) di Certificati.
Questo processo rende qualsiasi applicazione che utilizza OpenID Connect per l’autenticazione molto più sicura senza alcuna altra modifica. OpenPubkey è trasparente per gli utenti e per i provider OpenID. Un provider OpenID non può nemmeno determinare che OpenPubkey viene utilizzato. Ciò rende OpenPubkey completamente compatibile con i provider OpenID esistenti. Questa compatibilità include Google, Azure/Microsoft, Okta, OneLogin e Keycloak. Questo progetto non sta aggiungendo nuove parti fidate di OpenID Connect.
- Impara ChatGPT con questo pacchetto di formazione sull’IA per...
- Microsoft rinnova OneDrive con un nuovo design, visualizzazione più...
- Sblocca il tuo potenziale di carriera IT con questo pacchetto CompT...
OpenPubkey viene già utilizzato per autenticare messaggi firmati e identità per gli utenti con account su Google, Microsoft, Okta e OneLogin. Integrando OpenID Connect, OpenSubkey permetterà agli utenti e ai carichi di lavoro di firmare artefatti con la propria identità OpenID. Questa capacità è fondamentale per le applicazioni che richiedono un accesso remoto sicuro e funzionalità di sicurezza della catena di approvvigionamento del software, incluse compilazioni firmate, distribuzioni e commit del codice.
Inoltre: 6 semplici regole di sicurezza informatica da seguire
Tutto ciò suona bene in teoria, ma è importante tenere presente che anche l’implementazione di riferimento di OpenPubkey è ancora in fase di sviluppo. Ad esempio, il client OpenPubkey ha ancora bisogno del supporto per il provider OpenID di Github e per il provider OpenID di Azure (OP).
Jim Zemlin, direttore esecutivo della Linux Foundation, è entusiasta di ospitare il progetto OpenPubkey: “Questa iniziativa è destinata a diventare una pietra angolare nel miglioramento del tessuto di sicurezza della comunità del software open-source”. Zemlin ha esteso un invito agli sviluppatori e alle organizzazioni a unire le forze in questa collaborazione mirata al potenziamento della sicurezza della catena di approvvigionamento del software.
TestifySec, un importante attore nella sicurezza informatica, ha approvato l’iniziativa. Cole Kennedy, CEO di TestifySec, ha elogiato l’approccio di OpenPubkey che consente una firma facile e affidabile: “La collaborazione tra Docker e BastionZero ha il nostro pieno sostegno. Siamo ottimisti circa i grandi benefici che l’intera comunità può ottenere”.
Inoltre: Linux cerca di eliminare il notoriamente insicuro protocollo RNDIS di Windows
Interessato a saperne di più su come preparare OpenPubkey per la produzione? Dai un’occhiata alla pagina GitHub di OpenPubkey e mettiti al lavoro. Questo è un progetto di autenticazione e sicurezza che mostra molto potenziale.
