## 数字签名在云原生应用安全中的实践 小马哥 Agenda 1. 何为数字签名，数字签名为何？ 2. 为何要对容器镜像进行签名 3. 使用 cosign 对容器镜像进行签名验证 4. Demo show ## 一 段唯美爱情的悲伤结局！ 小美，等我 小美， 不要等我 KUBERNETES COMMUNITY DAYS DALIAN 截获 篡改 ## 什么是数字签名 d62b36f6d56598b62c8d5515/p4_2.jpg) ## 数字签名是一种数学技术，用于验证数字文档或消息的真实性、完整性和不可否认性。它是 手写签名或印章的数字等价物，用于建立发送者 数字签名是使用私钥创建的，该私钥仅由发送者文档或消息，公钥用于解密。这个过程确保只有能否认发送它。 数字签名通常用于电子商务、在线银行和其他需法，用于确保电子文档和消息的真实性和完整性 防止数据被篡改，保证数据的完整性、机密性，从而提高安全性！ ## 数字签名的好处是什么  ## 数字签名的好处包括以下几个方面： 1. 身份验证：数字签名可用于验证文档或消息的发送者身份。签名是基于使用私钥的加密过程，只有拥有相应私钥

CERTIFICATE----- -----END MY CERTIFICATE----- • 必选, 私钥文件 (key 文件) 数字签名算法为RSA的文件的文本格式如下： -----BEGIN RSA PRIVATE KEY----- ----END RSA PRIVATE KEY---- 数字签名算法为ECDSA的文件的文本格式如下，EC PARAMETERS为可选： -----BEGIN EC PARAMETERS----- 书或手动填写证书时，请确保证书格式正确，如果校验格式错误，则会添加证书不成功。 ## 手动输入证书 如果您选择手动输入证书，则文本需要依次包含以下字段：私钥、网站证书、中间证书、根证书等。 数字签名算法为RSA格式参考如下(在复制时请核对证书的完整性): -----BEGIN RSA PRIVATE KEY----- ----END RSA PRIVATE KEY---- -----BEGIN CERTIFICATE----- ----END MY CERTIFICATE---- -----BEGIN MY CERTIFICATE----- ----END MY CERTIFICATE---- 数字签名算法为ECDSA格式参考如下(在复制时请核对证书的完整性): -----BEGIN EC PRIVATE KEY----- -----END EC PRIVATE KEY----- -----BEGIN

证。在启动过程中，前一个部件验证后一个部件的数字签名，如果能验证通过，则运行后一个部件；如果验证不通过，则停止启动。通过安全启动可以保证系统启动过程中各个部件的完整性，防止没有经过认证的部件被加载运行，从而防止对系统及用户数据产生安全威胁。 openEuler 在支持安全启动的基础上，还通过支持内核模块签名、IMA 文件完整性保护等机制，将基于数字签名的保护链路进一步延伸至内核模块和应用程序文件 aac/p28_2.jpg) ## 功能描述 为支持“开箱即用”的安全启动能力，核心是在 openEuler 社区建立以 PKI 为基础的软件构建签名体系，在软件构建阶段，自动为目标文件添加数字签名，并在关键组件中预置公钥证书，从而在用户安装 openEuler 镜像后，可以直接开启相关的签名校验机制，提升系统安全性。 openEuler Signatrust 是社区基础设施 SIG 组针 签名平台生成并管理签名公私钥和证书，同时通过 Signatrust 提供签名服务； 2. EulerMaker 构建系统在执行软件包构建阶段，调用 Signatrust 签名接口为目标文件执行添加数字签名； 3. 具备签名验证功能的组件（如 shim、kernel 等），在构建阶段预置相应的验签证书； 4. 用户安装 openEuler 镜像后，开启安全启动、内核模块校验、IMA、RPM 校验

28|ECC|是|TLCP、区块链等场景，用于签名验签等| |Sm3|GM/T 0004-2012ISO/IEC 10118-3:2018|计算密码杂凑|哈希|256|SHA256|是|TLCP、数字签名及验证、消息认证码生成及验证、随机数生成、密钥扩充| |Sm4|GM/T 0002-2012ISO/IEC WD 18033-3/AMD2|分组加解密|分组加密|128|AES128，但是更多次轮 子商务及国民经济的各个应用领域（包括国家政务通、警务通等重要领域）。 ## SM2 Introduction of SM2 - SM2 为椭圆曲线（ECC）公钥加密算法，非对称加密，提供加解密、数字签名、证书生成、密钥交换功能。由于以上用例，也常用于区块链或网络安全密码协议，如 SSL/TLS、VPN。 • 保证数据机密性、真实性和完整性。 - SM2 算法和 RSA 算法都是公钥加密算法，SM2 512 位，摘要值长度为 256 位，其中使用了异或、模、模加、移位、与、或、非运算，由填充、迭代过程、消息扩展和压缩函数所构成。 • 保证信息的完整性。 在商用密码体系中，SM3 主要用于数字签名及验证、消息认证码生成及验证、随机数生成、密钥扩充等。据国家密码管理局表示，其安全性及效率要高于 MD5 算法和 SHA-1 算法，与 SHA-256 相当。 SM3 将对长度为 l (l <

org/wiki/SHA-1#Comparison_of_SHA_functions]。 ##### 8.2.2. ECC 构建区块链的去中心化交易，需要一种加密算法，使交易发起人使用持有的密钥对交易数据进行数字签名，而交易验证者只需要知道交易发起人的公开信息，即可对交易有效性进行验证，确定该交易确实来自交易发起者。这种场景在密码学中称之为“公开密钥加密”，也称之为非对称密钥加密。 常见的公开密钥算法如RSA、ECC(Elliptic 密钥协商算法，定义了双方如何安全的生成和交换密钥。 - ECDSA (Elliptic Curve Digital Signature Algorithm): 是使用椭圆曲线密码学实现的DSA(数字签名算法)，一般发起人对消息摘要使用私钥签名，验证者可以通过公钥对签名有效性进行验证。 椭圆曲线算法由于采用的椭圆曲线的不同，具有多种不同的算法标准，典型的如： • NIST标准，典型的曲线如P-256/P-384/P-521等； 56r1/secp192k1/secp192r1等； • ECC25519，主要指Ed25519数字签名和Curve25519密钥协商标准等； - 国产密码算法，中国国家密码局制定的密码学算法标准，典型的如SM2/3/4等。 ##### 8.2.3. 多重签名和环签名 多重签名是指在数字签名中，有时需要多个用户对同一个交易进行签名和认证，例如某些合约账户下的数据需要多个人授权才能修改或转账。

wikipedia.org/wiki/SHA-1#Comparison_of_SHA_functions]。 ## ECC 构建区块链的去中心化交易，需要一种加密算法，使交易发起人使用持有的密钥对交易数据进行数字签名，而交易验证者只需要知道交易发起人的公开信息，即可对交易有效性进行验证，确定该交易确实来自交易发起者。这种场景在密码学中称之为‘公开密钥加密’，也称之为非对称密钥加密。 常见的公开密钥算法如RSA、ECC(Elliptic 密钥协商算法，定义了双方如何安全的生成和交换密钥。 - ECDSA (Elliptic Curve Digital Signature Algorithm): 是使用椭圆曲线密码学实现的DSA(数字签名算法)，一般发起人对消息摘要使用私钥签名，验证者可以通过公钥对签名有效性进行验证。 椭圆曲线算法由于采用的椭圆曲线的不同，具有多种不同的算法标准，典型的如： • NIST标准，典型的曲线如P-256/P-384/P-521等； Secp256r1/secp192k1/secp192r1等； • ECC25519，主要指Ed25519数字签名和Curve25519密钥协商标准等； - 国产密码算法，中国国家密码局制定的密码学算法标准，典型的如SM2/3/4等。 ## 多重签名和环签名 多重签名是指在数字签名中，有时需要多个用户对同一个交易进行签名和认证，例如某些合约账户下的数据需要多个人授权才能修改或转账。 在密

wikipedia.org/wiki/SHA-1#Comparison_of_SHA_functions]。 ## ECC 构建区块链的去中心化交易，需要一种加密算法，使交易发起人使用持有的密钥对交易数据进行数字签名，而交易验证者只需要知道交易发起人的公开信息，即可对交易有效性进行验证，确定该交易确实来自交易发起者。这种场景在密码学中称之为‘公开密钥加密’，也称之为非对称密钥加密。 常见的公开密钥算法如RSA、ECC(Elliptic 密钥协商算法，定义了双方如何安全的生成和交换密钥。 - ECDSA (Elliptic Curve Digital Signature Algorithm): 是使用椭圆曲线密码学实现的DSA(数字签名算法)，一般发起人对消息摘要使用私钥签名，验证者可以通过公钥对签名有效性进行验证。 椭圆曲线算法由于采用的椭圆曲线的不同，具有多种不同的算法标准，典型的如： • NIST标准，典型的曲线如P-256/P-384/P-521等； Secp256r1/secp192k1/secp192r1等； • ECC25519，主要指Ed25519数字签名和Curve25519密钥协商标准等； - 国产密码算法，中国国家密码局制定的密码学算法标准，典型的如SM2/3/4等。 ## 多重签名和环签名 多重签名是指在数字签名中，有时需要多个用户对同一个交易进行签名和认证，例如某些合约账户下的数据需要多个人授权才能修改或转账。 在密

wikipedia.org/wiki/SHA-1#Comparison_of_SHA_functions]。 ## ECC 构建区块链的去中心化交易，需要一种加密算法，使交易发起人使用持有的密钥对交易数据进行数字签名，而交易验证者只需要知道交易发起人的公开信息，即可对交易有效性进行验证，确定该交易确实来自交易发起者。这种场景在密码学中称之为‘公开密钥加密’，也称之为非对称密钥加密。 常见的公开密钥算法如RSA、ECC(Elliptic 密钥协商算法，定义了双方如何安全的生成和交换密钥。 - ECDSA (Elliptic Curve Digital Signature Algorithm): 是使用椭圆曲线密码学实现的DSA(数字签名算法)，一般发起人对消息摘要使用私钥签名，验证者可以通过公钥对签名有效性进行验证。 椭圆曲线算法由于采用的椭圆曲线的不同，具有多种不同的算法标准，典型的如： • NIST标准，典型的曲线如P-256/P-384/P-521等； Secp256r1/secp192k1/secp192r1等； • ECC25519，主要指Ed25519数字签名和Curve25519密钥协商标准等； - 国产密码算法，中国国家密码局制定的密码学算法标准，典型的如SM2/3/4等。 ## 多重签名和环签名 多重签名是指在数字签名中，有时需要多个用户对同一个交易进行签名和认证，例如某些合约账户下的数据需要多个人授权才能修改或转账。 在密

org/wiki/SHA-1#Comparison_of_SHA_functions]。 ##### 8.2.2. ECC 构建区块链的去中心化交易，需要一种加密算法，使交易发起人使用持有的密钥对交易数据进行数字签名，而交易验证者只需要知道交易发起人的公开信息，即可对交易有效性进行验证，确定该交易确实来自交易发起者。这种场景在密码学中称之为“公开密钥加密”，也称之为非对称密钥加密。 常见的公开密钥算法如RSA、ECC(Elliptic 密钥协商算法，定义了双方如何安全的生成和交换密钥。 - ECDSA (Elliptic Curve Digital Signature Algorithm): 是使用椭圆曲线密码学实现的DSA(数字签名算法)，一般发起人对消息摘要使用私钥签名，验证者可以通过公钥对签名有效性进行验证。 椭圆曲线算法由于采用的椭圆曲线的不同，具有多种不同的算法标准，典型的如： • NIST标准，典型的曲线如P-256/P-384/P-521等； 56r1/secp192k1/secp192r1等； • ECC25519，主要指Ed25519数字签名和Curve25519密钥协商标准等； - 国产密码算法，中国国家密码局制定的密码学算法标准，典型的如SM2/3/4等。 ##### 8.2.3. 多重签名和环签名 多重签名是指在数字签名中，有时需要多个用户对同一个交易进行签名和认证，例如某些合约账户下的数据需要多个人授权才能修改或转账。

wikipedia.org/wiki/SHA-1#Comparison_of_SHA_functions]。 ## ECC 构建区块链的去中心化交易，需要一种加密算法，使交易发起人使用持有的密钥对交易数据进行数字签名，而交易验证者只需要知道交易发起人的公开信息，即可对交易有效性进行验证，确定该交易确实来自交易发起者。这种场景在密码学中称之为‘公开密钥加密’，也称之为非对称密钥加密。 常见的公开密钥算法如RSA、ECC(Elliptic 密钥协商算法，定义了双方如何安全的生成和交换密钥。 - ECDSA (Elliptic Curve Digital Signature Algorithm): 是使用椭圆曲线密码学实现的DSA(数字签名算法)，一般发起人对消息摘要使用私钥签名，验证者可以通过公钥对签名有效性进行验证。 椭圆曲线算法由于采用的椭圆曲线的不同，具有多种不同的算法标准，典型的如： • NIST标准，典型的曲线如P-256/P-384/P-521等； Secp256r1/secp192k1/secp192r1等； • ECC25519，主要指Ed25519数字签名和Curve25519密钥协商标准等； - 国产密码算法，中国国家密码局制定的密码学算法标准，典型的如SM2/3/4等。 ## 多重签名和环签名 多重签名是指在数字签名中，有时需要多个用户对同一个交易进行签名和认证，例如某些合约账户下的数据需要多个人授权才能修改或转账。 在密