Linux Foundationは10月4日(米国時間)、BastionZeroおよびDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」をローンチすることを発表した。
OpenPubkeyは2019年に設立された米ボストンのスタートアップで、ゼロトラストアーキテクチャをベースに、任意のクラウドまたはデータセンターのインフラ(Kubernetesクラスタ、サーバ、データベース、Webアプリケーションなど)に対してセキュアで簡潔なシングルサインオンのリモート接続を保証するクラウドサービスを提供している。“Bastion(要塞ホスト)をZeroに”という社名からもわかるように、要塞ホストやVPN、特権アクセス、Kubernetesキー管理などの手間を廃し、ポリシー制御のシンプルなゼロトラストアーキテクチャのもと、すべてのリモートアクセスを管理できることを謳っている。
今回ローンチされたOpenPubkeyはもともとBastionZeroのゼロトラスト製品の一部として開発された暗号化プロトコルで、OpenID Connectにユーザ生成の暗号化署名(一時的に生成された公開鍵と署名鍵)を追加している。これにより、OpenID ConnectのIDプロバイダ(IdP)がユーザに対して発行するIDトークンに公開鍵が暗号的にバインドされるため、IDトークンをユーザ/ワークロードのステートメントを示す証明書として利用できる。また、またユーザの署名鍵を使って署名されたメッセージはIdPで認証され、ユーザIDに関連付けることができる。つまり、OpenPubkeyを使うことでIdPが発行するIDトークンを単なるベアラートークンから、Proof-of-Possesion(PoP:所有権証明)トークンとして機能させることができるようになる。また、OpenPubkeyはOpenID Connectを拡張したプロトコルなので、GoogleやMicrosoft、Oktaといった主要なIdPで変更を加えることなく、すぐに利用することが可能だ。
OpenPubkeyのユースケースとしては、ソフトウェアサプライチェーンのセキュリティ強化が挙げられる。OpenID Connectにはこれまでユーザが自身のIDでステートメントに署名する安全な方法はなかったが、OpenPubkeyを使うことで、ユーザが自身のIDでメッセージやアーティファクトに署名でき、かつこれらの署名が有効であることを証明できるようになるため、今回のローンチに参加をしたDockerなどの企業がOpenPubkeyによる安全なソフトウェアサプライチェーンの確立に期待を寄せている。
Linux Foundationは今後、BastionZeroとDockerとともにOpenPubkeyのコラボレーションを促進し、オープンソースエコシステム全体でソフトウェアセキュリティを向上させることを目指していくとしている。