Первый стабильный релиз PGP-инструментария sq от проекта Sequoia
Дата публикации:Tue, 17 Dec 2024 09:44:45 +0300
После семи лет разработки сформирован релиз инструментарий командной строки sq 1.0, предназначенного для работы с артефактами OpenPGP. Инструментарий подготовлен проектом Sequoia PGP, также развивающим библиотеку функций с реализацией стандарта OpenPGP (RFC-4880). Выпуск 1.0 отмечен как первый стабильный релиз проекта, означающий стабилизацию кодовой базы и прекращение внесение изменений, нарушающих совместимость. Код написан на языке Rust и распространяется под лицензией GPLv2+.
Инструментарий включён в состав дистрибутива Red Hat Enterprise Linux 10 в качестве альтернативы GnuPG, задействован для работы с PGP в пакетных менеджерах DNF и RPM, и используется по умолчанию в экспериментальной ветке пакетного менеджера APT при наличии компонентов Sequoia в системе. Созданный разработчиками Sequoia сервер ключей Hagrid применяется в сервисе keys.openpgp.org.
Проект Sequoia создан тремя разработчиками GnuPG из компании g10code, специализирующейся на аудите криптосистем и разработке дополнений к GnuPG. Целью проекта заявлена переработка архитектуры и внедрение новых техник повышения безопасности и надёжности кодовой базы. Помимо использования языка Rust для снижения вероятности ошибок при работе с памятью, в Sequoia реализована дополнительная защита от ошибок на уровне API. Например, API не позволяет случайно экспортировать материал секретного ключа и подстраховывает от пропуска важных действий при обновлении цифровой подписи. Для дополнительной изоляции применяется разделение по отдельным процессам сервисов, работающих с открытыми и закрытыми ключами.
Помимо функций для шифрования данных, работы с электронными подписями и управления ключами, схожих с возможностями gpg, в sq дополнительно предоставляется децентрализованная инфраструктура открытых ключей (PKI). PKI используется для аутентификации сертификатов и сообщений, и позволяет удостовериться в том, что полученный открытый ключ и принятое сообщений связаны с заявленным автором, а не сформированы злоумышленником.
При загрузке сертификата с keys.openpgp.org или другого сервера ключей, утилита sq автоматически сохранит информацию о сертификате на локальной системе и будет использовать эту информацию при последующих операциях для выявления поддельных сертификатов. Отмечается, что реализованная система может применяться в качестве основы для построения подобия распределённого удостоверяющего центра (CA), охватывающего различные серверы ключей.
Например, перед проверкой подлинности загруженных сборок ОС Qubes пользователь может вначале проверить сертификат Qubes, отдаваемый с основного сервера ключей проекта Qubes:
sq network search https://keys.qubes-os.org/keys/qubes-re ... ng-key.asc
Указанная команда загрузит сертификат с сервера keys.qubes-os.org, а затем проверит его наличие на известных серверах ключей, таких как keys.openpgp.org и keyserver.ubuntu.com, или попытается получить при помощи механизмов WKD (Web Key Directory) и DANE (DNS-Based Authentication of Named Entities). Далее утилита сравнит полученные сертификаты и если они связаны с одним владельцем предложит использовать команду "sq pki link add" для сохранения сертификата на локальной системе для последующих проверок. После сохранения сертификат будет считаться заслуживающим доверия и для загрузки сборок с проверкой их достоверности достаточно будет выполнить команду:
sq download --signature-url https://mirrors.edge.kernel.org/qubes/i ... 64.iso.asc --url https://mirrors.edge.kernel.org/qubes/i ... x86_64.iso --output /tmp/qubes.iso
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=62421