Los científicos desarrollan un cifrado de extremo a extremo para los servicios GIT

Desde grandes corporaciones de tecnología hasta nuevas empresas, desde estudiantes de informática hasta desarrolladores independientes, usar servicios GIT es tan común como abrir un documento de Word para la mayoría del resto de nosotros. Los servicios GIT son repositorios en línea, indispensables en la industria de TI, que administran y almacenan proyectos que pueden contener información confidencial o secretos comerciales, como modelos emergentes de inteligencia artificial.

Sin embargo, esto hace que los servicios GIT sean vulnerables a las frecuentes amenazas de ciberseguridad. También existe el riesgo de que el código malicioso se inserta en proyectos existentes sin el conocimiento del desarrollador.

Los investigadores de la Universidad de Sydney son parte de un equipo que tiene Desarrollado de cifrado de extremo a extremo Eso se puede implementar para proteger los servicios GIT. El cifrado es compatible con las plataformas GIT existentes como GitHub y Bitbucket. Cuando se implementa, dicen los investigadores, se alineará perfectamente para el almacenamiento y el tiempo que tarda los datos en sincronizarse entre los dispositivos y los servidores GIT.

Las pruebas iniciales sobre los servicios GIT existentes y los repositorios públicos (fuentes de datos disponibles para que los investigadores prueben los algoritmos) han tenido éxito.

«La privacidad y la seguridad del código de software han sido durante mucho tiempo una preocupación para los usuarios de la industria y los individuos que dependen de los servicios GIT», dijo uno de los principales desarrolladores, profesor Asociado Qiang Tang, de la Escuela de Informática, Facultad de Ingeniería. «Al igual que queremos que nuestros mensajes sean privados y seguros, la industria de TI también quiere que su código esté protegido. El cifrado de extremo a extremo es actualmente el estándar de oro para proteger los datos».

El cifrado de extremo a extremo funciona asegurando datos de principio a fin, lo que significa que los datos enviados están protegidos desde la fuente al destino, incluso si la plataforma de servicio está pirateada. Actualmente se utiliza en servicios de mensajería como WhatsApp.

Los investigadores dicen que la amenaza de violaciones de seguridad a los servicios GIT se está volviendo más común. A principios de año, el intercambio de criptomonedas Coinbase fue un objetivo. En 2022 Okta le robaron el código fuente.

Pero el profesor asociado Tang dice que los esfuerzos actuales en la seguridad GIT no son lo suficientemente fuertes y con grandes gastos generales, lo que significa que se está utilizando una cantidad significativa de recursos computacionales como el tiempo de procesamiento, el ancho de banda o el almacenamiento.

Los investigadores esperan introducir el código para Git Services para un uso generalizado o tienen la intención de hacerlo de código abierto. Los resultados se presentarán en el Conferencia ACM sobre seguridad de la computadora y comunicaciones en octubre.

El colaborador Moti Yung, distinguido científico de investigación de Google, dijo que esta era una excelente oportunidad para proteger el sistema de servicios GIT y sus usuarios.

«La evolución de la computación de los ecosistemas siempre comienza con una nueva utilidad diseñada para entidades confiables: Internet, las redes móviles, las aplicaciones de chat, etc.

«Por lo tanto, debido a que estas utilidades maduran y expanden, uno tiene que tratar con jugadores menos confiables y maliciosos dentro del ecosistema. Servicios GIT, permitiendo colaboraciones y control de versiones entre los participantes también comenzó sin cuidar a fondo de posibles jugadores malos, y el sistema propuesto ahora es un paso necesario para su madurez».

Creación del cuadro de seguridad para el código del mundo y la creciente demanda de seguridad en línea en línea

Imagine Git Services como un documento de Word Giant donde innumerables personas pueden escribir, editar y actualizar contenido, pero para el código de computadora.

«Lo que hace que los servicios GIT como GitHub indispensable es su capacidad para organizar una gran cantidad de colaboradores que trabajan en el mismo proyecto de codificación al mismo tiempo, sin perder ninguna eficiencia», dijo el profesor asociado Tang. «Sin embargo, esta ventaja también es un obstáculo que impidió que los servicios de GIT obtuvieran un cifrado de extremo a extremo».

Cuando usa un servicio de mensajería, el contenido o el texto permanecen relativamente sin cambios, o las ediciones serán muy menores.

Pero en Github, se están escribiendo, editadas y actualizadas innumerables líneas de código constantemente a una velocidad tan rápida, el cifrado estándar de extremo a extremo no puede mantenerse al día. Constantemente necesitaría refrescar para cifrar nuevas versiones.

«Es un acto de equilibrio: mantenga el código seguro pero no donde afecta tanto a la computadora del usuario que se convierte en un obstáculo», agregó Tang.

El equipo de investigación pudo lograr este equilibrio con una compensación, utilizando solo pequeños bits de potencia computacional a la vez para reducir significativamente el nivel de comunicación y almacenamiento necesarios. Específicamente, utilizando el cifrado a nivel de caracteres, donde solo las ediciones se tratan como nuevos datos para ser encriptados y agregados (agregados a una recopilación de datos existente). De esta manera, la presión sobre los recursos computacionales se vuelve mínima.

Otra forma de decirlo es que si elimina una palabra de una oración en un documento, el código lo reconocería y cifraría el cambio, en lugar de encriptar todo el documento.

Al hacer esto, ahorraría una gran cantidad de ancho de banda y almacenamiento que de otro modo se utiliza en cada versión nueva del código.

El coautor Dr. Ya-Nan Li de la Universidad de Sydney dijo que otro desafío era identificar los requisitos de seguridad necesarios, que a veces podrían ser sutiles. Por ejemplo, cuándo habilitar el seguimiento y la verificación pública de la fuente de todas las ediciones.

«Al abordar este problema, deja el servidor GIT vulnerable a la inyección potencial de código malicioso y, a veces, incluso puede obstaculizar directamente la confidencialidad», dijo el Dr. Li.