OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」とは Linux Foundationなどが発表：安全なソフトウェアサプライチェーンの実現を支援

Linux Foundation、BastionZero、Dockerは暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」を発表した。

[＠IT]

　Linux Foundationは2023年10月4日（米国時間）、BastionZeroやDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」を発表した。OpenPubkeyの発表に合わせてBastionZeroは、Dockerコンテナ署名とOpenPubkeyの統合を発表している。

OpenPubkeyプロトコルとは？　OpenID Connectと何が違う？

　BastionZeroによると、OpenPubkeyは、シングルサインオン（SSO）のデファクトスタンダードであるOpenID Connect（OIDC）にユーザーが生成した暗号署名を追加するプロトコルだ。

　「Googleでサインイン」のようなOpenIDボタンがあったとき、OpenIDによる認証は以下のように行われる。

1. クライアント（多くの場合、ブラウザで実行されるJavaScript）は、ランダムな値（nonceとも呼ばれる）をGoogleに送信する。これによりOpenID Connect認証が開始される
2. Googleは、現在のセッションに基づいてユーザーを認証し、Googleの署名鍵に基づいてIDトークンに署名する。IDトークンには「このユーザーはAlice@gmail.comです」のようなユーザー情報とnonceが含まれる
3. IDトークンがGoogleによって発行、署名されていることをWebアプリ側が確認することで「このユーザー（Alice）はAlice@Gmail.comである」と確認できる

　OpenPubkeyはOpenID Connectを拡張し、Googleのようなアイデンティティープロバイダー（IdP）がIDトークンでユーザーIDを指定するだけではなく、ユーザーの公開鍵もIDトークンに含めるようになる。具体的には「Googleでサインイン」ボタンを選択すると、公開鍵と署名鍵が生成される。公開鍵はGoogleに送信されるnonceに含まれる。nonceに公開鍵が含まれることで、IDトークンが証明書のように機能し、ユーザーIDと公開鍵を関連付けられるようになる。

　Linux Foundationは、OpenID Connect IdPに認証局（CA）の役割をもたせるOpenPubkeyにより、暗号鍵をユーザーやワークロードに安全かつ正確に連携できるようになるとしている。またDockerコンテナ署名との統合により、安全なリモートアクセスやソフトウェアサプライチェーンのセキュリティ機能、署名付きのビルド、展開およびコードコミットの支援にもつながるとしている。

　Linux Foundationのエグゼクティブディレクターであるジム・ゼムリン氏は「Linux FoundationがOpenPubkey Projectをホストできることを誇りに思う。Linux Foundation一同は、この取り組みがオープンソースソフトウェアコミュニティーのセキュリティを強化する上で極めて重要な役割を果たすと信じている。同時に、開発者や組織がソフトウェアのサプライチェーンのセキュリティを強化するために、この取り組みに参加することを奨励したい」と述べている。

　BastionZeroの共同設立者兼CTO（最高技術責任者）、イーサン・ハイルマン氏は「BastionZeroはOpenID Connectでデジタル署名を簡単かつ安全に使用できるようにするために、独自のスタンドアロンプロトコルとしてOpenPubkeyを導入した。われわれはDockerと提携し、Dockerのソフトウェア開発者やオープンソース貢献者のコミュニティーに、ユーザーやサービスアカウント、マシン、またはワークロードがIDを使用してデジタル署名を作成するための簡単で便利な方法を提供できることをうれしく思う」と述べている。