Vi begynte å oppdatere hvordan Home Assistant gjør innholdstillit ved å bruke Codenotary CAS.
Med innholdstillit kan vi sikre at systemet ditt kun kjører containere/programvare som utgitt av den opprinnelige forfatteren. Forfatteren kan i dette tilfellet være Home Assistant-prosjektet, men også for eksempel en tilleggsutvikler. Dette er et viktig sikkerhetsaspekt, siden det beskytter forekomsten din fra å kjøre mulig skadelig programvare. Innholdstillit bekrefter at programvaren du laster ned, installerer eller oppgraderer er nøyaktig den samme som den ble utgitt av skaperen, og sikrer at ingen rotet med den underveis.
Codenotary CAS er bygget rundt en desentralisert, kryptografisk sammenhengende og verifiserbar databaseteknologi kalt immudb. Den brukes til å lagre alle disse klarerte innholdssignaturene.
Med immudb vil vi være i stand til å være vert for deler av de pålitelige innholdssignaturdataene selv (vi gjør ikke dette ennå). Det kan til og med gjøres tilgjengelig som et Home Assistant-tillegg som brukere kan installere lokalt. Viktig å vite er at CAS ikke laster opp noen brukerdata for verifisering, det hele gjøres lokalt, akkurat slik vi liker det. Når du installerer eller oppdaterer en del av systemet ditt som er signert, sjekker det CAS-databasen for å sikre at bildet ikke er tilbakekalt (i likhet med SSL med CRL) og verifiserer at nedlastet innhold, som vi leverer over flere offentlige endepunkter, er den samme som oppdateringen som systemet ditt nettopp har lastet ned.
Under utrullingen av det nye systemet fikk vi noen problemer som førte til at brukere ikke kunne installere oppdateringer på ~12 timer 11. mars; som vi ønsker å beklage. Takket være hjelp fra Codenotary-ingeniører klarte vi å få det fikset på en rask og ryddig måte.
Pascal
