Die Linux Foundation arbeitet im Rahmen ihres Projekts sigstore an einem kostenfreien Signier-Dienst für Open-Source-Software: Archive, Container und Binaries, wie sie zur Distribution von Open-Source-Software eingesetzt werden, sollen dann einfach signiert werden können, um zu bestätigen, dass die Software tatsächlich aus dem Quellcode des Entwicklers erzeugt wurde.

Mit der kryptographischen Signatur soll die Distribution manipulierter und damit gefälschter Versionen von Software durch Unbefugte verhindert werden. Solche manipulierte Software kann etwa mit vorsätzlichen Sicherheitslücken und Schadfunktionen versehen sein.

Unterstützt wird sigstore von Red Hat, Google und der US-amerikanischen Purdue University. Nach seiner Fertigstellung soll der Dienst kostenfrei und einfach genutzt werden können - die Überprüfung von Signaturen wird von einem öffentlichen transparency log mit dem Namen "rekor" ermöglicht.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE