Definition

Docker Content Trust

Mitarbeiter: Kathleen Casey

Docker Content Trust ist eine Sicherheitsfunktion für Docker-Container. Docker Content Trust wurde im August 2015 vorgestellt und nutzt kryptografische Schlüssel, mit denen sichergestellt wird, dass Container-Images und ihre Publisher nicht kompromittiert sind.

Um Docker-Images und Publisher von Docker-Images zu verifizieren, werden private und öffentliche Schlüssel eingesetzt, bei denen Daten in einem bestimmten Format gespeichert und übertragen werden, so dass nur autorisierte Parteien Zugriff darauf erhalten. Mit dem Docker Content Trust werden Docker-Images (Container-Dateien, die die nötigen Anwendungskomponenten enthalten) mit dem privaten Schlüssel des Publishers signiert, bevor sie an das Docker Repository verschickt werden.

Bei der anschließenden Verwendung des Docker-Images aus dem Docker Repository greift Docker Content Trust auf den öffentlichen Schlüssel des Publishers zu um sicherzustellen, dass die aktuelle Version des Images vorliegt und das Image selbst nicht kompromittiert wurde. Auch wenn Entwickler das Image aktualisieren oder verändern stellt die kryptografische Signatur weiterhin sicher, dass der Inhalt nach wie vor noch der ursprüngliche ist und aus einer vertrauenswürdigen Quelle stammt.

Docker Content Trust verwendet hierfür bis zu vier unterschiedliche Schlüssel, um den Inhalt abzusichern:

  • Target und Snapshot Keys: Diese zwei Schlüssel zusammen sind als Repository Key bekannt, der für jedes neue Repository eines Publishers angelegt wird und mit jedem beliebigen Anwender geteilt werden kann, der Inhalte digital signieren soll.
  • Offline Key: Dieser Schlüssel dient als Root of Trust für das Repository und kann für unterschiedliche Repositories verwendet werden. Dieser Key sollte offline gespeichert werden, um ihn keinen Bedrohungsrisiken auszusetzen.
  • Timestamp Key: Dieser Schlüssel wird verwendet, wenn Content dem Repository hinzugefügt oder daraus entfernt wird und soll sogenannte Replay-Attacken verhindern, die auftreten können, wenn Anwender signierten, aber abgelaufenen Content nutzen.
Diese Definition wurde zuletzt im April 2016 aktualisiert

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close