Comenzamos a actualizar cómo Home Assistant confía en el contenido usando Codenotario CAS.
Con confianza en el contenido, podemos asegurarnos de que su sistema solo ejecute contenedores/software según lo publicado por el autor original. El autor, en este caso, puede ser el proyecto Home Assistant, pero también, por ejemplo, un desarrollador de complementos. Este es un aspecto de seguridad importante, ya que protege su instancia de la ejecución de software posiblemente malicioso. Content Trust verifica que el software que descargas, instalas o actualizas es exactamente el mismo que lanzó su creador y garantiza que nadie se meta con él en el proceso.
Codenotary CAS se basa en una tecnología de base de datos descentralizada, criptográficamente coherente y verificable llamada immudb. Se utiliza para almacenar todas estas firmas de contenido de confianza.
Con immudb podremos alojar nosotros mismos partes de los datos de firmas de contenido de confianza (aún no lo hacemos). Incluso podría estar disponible como un complemento de Home Assistant que los usuarios pueden instalar localmente. Es importante saber que CAS no carga ningún dato de usuario para la verificación, todo se hace localmente, tal como nos gusta. Cuando instala o actualiza parte de su sistema que está firmado, verifica la base de datos CAS para asegurarse de que la imagen no haya sido revocada (similar a SSL con la CRL) y verifica que el contenido de descarga, que entregamos a través de múltiples puntos finales públicos, es la misma que la actualización que acaba de descargar su sistema.
Mientras implementábamos el nuevo sistema, nos encontramos con algunos problemas que hicieron que los usuarios no pudieran instalar actualizaciones durante aproximadamente 12 horas el 11 de marzo; por lo que queremos disculparnos. Gracias a la ayuda de los ingenieros de Codenotario pudimos solucionarlo de forma rápida y ordenada.
Pascal
