Cryptography 为厨师配方文件的部分签名以防止篡改的策略
我正在寻求社区对解决此问题的最佳方法的建议:Cryptography 为厨师配方文件的部分签名以防止篡改的策略,cryptography,code-signing,chef-infra,Cryptography,Code Signing,Chef Infra,我正在寻求社区对解决此问题的最佳方法的建议: 我在git中收集了厨师食谱,定义了一些实验室,例如jenkins CI设置,人们可以根据自己的需要使用这些食谱 然而,我可以预见到有人可能想要在食谱中添加某些不可变的部分的情况,例如防火墙设置 锁定文件的某些部分以验证其未被更改,同时允许在该部分之外进行任意更改,这种策略有什么意义 理想情况下,它还可以解决在需要时混淆部分的问题 我是否会在代码中添加我自己的DSL(每个受保护的块都有一个校验和),在将其传递给chef之前,对其进行预处理以展开和验证
#---SIGNED-FILE SHA-256 507e74380188c07bad2fa66acb8cbbeeb63f84fcee5fd639499575654239cd49
#
# Cookbook Name:: jenkins
# Recipe:: default
#
# https://wiki.jenkins-ci.org/display/JENKINS/Installing+Jenkins+on+Ubuntu
# This is super-simple, compared to the other Chef cookbook I found
# for Jenkins (https://github.com/fnichol/chef-jenkins).
#
# This doesn't include Chef libraries for adding Jenkin's jobs via
# the command line, but it does get Jenkins up and running.
include_recipe "apt"
include_recipe "java"
#---SIGNED-SECTION-START SHA-256 e4d3d02f14ee2a6d815a91307c610c3e182979ce8fca92cef05e53ea9c90f5c7
apt_repository "jenkins" do
uri "http://pkg.jenkins-ci.org/debian"
key "http://pkg.jenkins-ci.org/debian/jenkins-ci.org.key"
components ["binary/"]
action :add
end
#---SIGNED-SECTION-END
#---OBFUSCATED-SECTION-START SHA-256 5f536f2137dc7e2c5817de861d1329ead72b1e9d2dbb9dbe181ec7bc274dddeb
YXB0X3JlcG9zaXRvcnkgImplbmtpbnMiIGRvCiAgdXJpICJodHRwOi8vcGtnLmplbmtpbnMtY2kub3JnL2RlYmlhbiIKICBrZXkgImh0dHA6Ly9wa2cuamVua2lucy1jaS5vcmcvZGViaWFuL2plbmtpbnMtY2kub3JnLmtleSIKICBjb21wb25lbnRzIFsiYmluYXJ5LyJdCiAgYWN0aW9uIDphZGQKZW5k
#---OBFUSCATED-SECTION-END
package "jenkins"
service "jenkins" do
supports [:stop, :start, :restart]
action [:start, :enable]
end
如果文件以签名部分开头,描述在整个文件中可以找到的签名实体,那么设计如何呢。然后,您的解析代码需要检查每个实体是否如所述存在,并且没有被删除 为了防止重播攻击,您需要在每个签名中包含一个时间戳,并在每次更改任何签名部分时重新计算整个文件中的签名。因此,文件仅在以下情况下有效:
- 文件中存在“标题”中描述的签名实体
- 每个签名验证并包含相同的时间戳
- 可选:签名时间戳是否与文件时间戳匹配(在可接受的增量内)
注意。我的回答假设了在创建和解析文件时可以实现什么。我可能误解了您环境的限制(我不熟悉git),如果是这样,请不要理我 文件以签名部分开头的设计如何,描述在整个文件中可以找到的签名实体。然后,您的解析代码需要检查每个实体是否如所述存在,并且没有被删除 为了防止重播攻击,您需要在每个签名中包含一个时间戳,并在每次更改任何签名部分时重新计算整个文件中的签名。因此,文件仅在以下情况下有效:
- 文件中存在“标题”中描述的签名实体
- 每个签名验证并包含相同的时间戳
- 可选:签名时间戳是否与文件时间戳匹配(在可接受的增量内)
注意。我的回答假设了在创建和解析文件时可以实现什么。我可能误解了您环境的限制(我不熟悉git),如果是这样,请不要理我 我的一位同事的建议提出了一条有趣的探索之路:如果我们试图提供一个人们可以继承的不可变的“基本配方”,那么也许我们可以使用git基类的SHA-1键来确保保留这些部分。我的一位同事的建议提出了一条有趣的探索之路:如果我们试图提供一个人们可以继承的不可变的“基本配方”,那么也许我们可以使用git基类的SHA-1键来确保保留这些部分。我还没有想清楚所有的细节。邓肯-谢谢你的回答。这基本上就是我考虑的策略。目前,我正在现实世界测试中尝试几个不同的场景,以了解操作上的“需要”等。我将在这里发布我的经验更新。邓肯-谢谢你的回答。这基本上就是我考虑的策略。目前,我正在现实世界测试中尝试几个不同的场景,以了解操作上的“需要”等。我将在这里发布我的经验更新。