Sigstore에 암호학적 민첩성 구축
소프트웨어 서명에는 숨겨진 만료일이 있어 암호화 알고리즘의 노후화에 대한 대비가 필요합니다. Sigstore는 처음에는 특정 알고리즘을 하드코딩하여 보안을 우선시했지만, 사용이 확대되고 다양한 조직의 요구가 생겨나면서 한계에 직면했습니다. Trail of Bits는 Sigstore 커뮤니티와 협력하여 통제된 암호화 유연성을 통해 이러한 한계를 해결했습니다. 여기에는 중앙 집중식 알고리즘 레지스트리 구축과 Rekor, Fulcio, Cosign에 대한 업데이트가 포함되어 알고리즘 선택을 가능하게 했습니다. 이러한 변경 사항은 인밴드 알고리즘 시그널링 공격을 방지하기 위해 미리 정의된 알고리즘 모음을 도입하여 안전한 조합을 보장합니다. 구현된 솔루션은 ECDSA, Ed25519, RSA와 같은 알고리즘을 지원하여 통제된 유연성을 제공합니다. 조직은 규정 준수 또는 양자 컴퓨터 시대 대비를 위해 허용되는 알고리즘을 제한할 수 있습니다. 이 새로운 아키텍처는 향후 알고리즘 추가를 지원하여 장기적인 서명 검증 가능성을 보장합니다. 이러한 접근 방식은 Sigstore의 보안 모델을 유지하면서 진화하는 암호화 표준을 수용합니다.
