Инструментарий включён в состав дистрибутива Red Hat Enterprise Linux 10 в качестве альтернативы GnuPG, задействован для работы с PGP в пакетных менеджерах DNF и RPM, и используется по умолчанию в экспериментальной ветке пакетного менеджера APT при наличии компонентов Sequoia в системе. Созданный разработчиками Sequoia сервер ключей Hagrid применяется в сервисе keys.openpgp.org.
Проект Sequoia создан тремя разработчиками GnuPG из компании g10code, специализирующейся на аудите криптосистем и разработке дополнений к GnuPG. Целью проекта заявлена переработка архитектуры и внедрение новых техник повышения безопасности и надёжности кодовой базы. Помимо использования языка Rust для снижения вероятности ошибок при работе с памятью, в Sequoia реализована дополнительная защита от ошибок на уровне API. Например, API не позволяет случайно экспортировать материал секретного ключа и подстраховывает от пропуска важных действий при обновлении цифровой подписи. Для дополнительной изоляции применяется разделение по отдельным процессам сервисов, работающих с открытыми и закрытыми ключами.
Помимо функций для шифрования данных, работы с электронными подписями и управления ключами, схожих с возможностями gpg, в sq дополнительно предоставляется децентрализованная инфраструктура открытых ключей (PKI). PKI используется для аутентификации сертификатов и сообщений, и позволяет удостовериться в том, что полученный открытый ключ и принятое сообщений связаны с заявленным автором, а не сформированы злоумышленником.
При загрузке сертификата с keys.openpgp.org или другого сервера ключей, утилита sq автоматически сохранит информацию о сертификате на локальной системе и будет использовать эту информацию при последующих операциях для выявления поддельных сертификатов. Отмечается, что реализованная система может применяться в качестве основы для построения подобия распределённого удостоверяющего центра (CA), охватывающего различные серверы ключей.
Например, перед проверкой подлинности загруженных сборок ОС Qubes пользователь может вначале проверить сертификат Qubes, отдаваемый с основного сервера ключей проекта Qubes:
Код:
sq network search https://keys.qubes-os.org/keys/qubes-release-4.2-signing-key.asc
Указанная команда загрузит сертификат с сервера keys.qubes-os.org, а затем проверит его наличие на известных серверах ключей, таких как keys.openpgp.org и keyserver.ubuntu.com, или попытается получить при помощи механизмов WKD (Web Key Directory) и DANE (DNS-Based Authentication of Named Entities). Далее утилита сравнит полученные сертификаты и если они связаны с одним владельцем предложит использовать команду "sq pki link add" для сохранения сертификата на локальной системе для последующих проверок. После сохранения сертификат будет считаться заслуживающим доверия и для загрузки сборок с проверкой их достоверности достаточно будет выполнить команду:
Код:
sq download --signature-url https://mirrors.edge.kernel.org/qubes/iso/Qubes-R4.2.3-x86_64.iso.asc --url https://mirrors.edge.kernel.org/qubes/iso/Qubes-R4.2.3-x86_64.iso --output /tmp/qubes.iso
Источник: https://www.opennet.ru/opennews/art.shtml?num=62421
(opennet.ru, основная лента)