1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Ezzel az azonosítóval hivatkozhat erre a dokumentumra forrásmegjelölésben vagy hiperhivatkozás esetén: http://elartu.tntu.edu.ua/handle/lib/51287
Title: Механізм безпечного оновлення контейнерів із застосуванням криптографії
Other Titles: Secure Container Update Mechanism using Cryptography
Authors: Вівчарівський, Назарій Ігорович
Vivcharivskyi, Nazarii
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Вівчарівський Н. І. Механізм безпечного оновлення контейнерів із застосуванням криптографії : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / Н. І. Вівчарівський. — Тернопіль: ТНТУ, 2025. — 74 с.
Issue Date: 22-dec-2025
Submitted date: 2-jan-2026
Date of entry: 12-jan-2026
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Лечаченко, Тарас Анатолійович
Lechachenko, Taras
Committee members: Никитюк, Вячеслав Вячеславович
Nikityuk, Vyacheslav
UDC: 004.056.5
Keywords: підписування артефактів
cosign
автоматизація робочих процесів
github actions
контейнеризація
docker
безперервна інтеграція та доставка
ci/cd
перевірка походження та довіри
sigstore
рівні безпеки ланцюга постачання
slsa
Abstract: У кваліфікаційній роботі магістра досліджено та реалізовано механізм безпечного оновлення контейнеризованих застосунків із використанням криптографічних методів перевірки автентичності та цілісності програмного забезпечення. Запропоноване рішення базується на побудові захищеного CI/CD-конвеєра з наскрізним ланцюжком довіри, що охоплює всі етапи життєвого циклу контейнерного застосунку, від формування релізу до автоматичного розгортання на кінцевому пристрої. У першому розділі виконано огляд контейнерних технологій і процесів безперервної інтеграції та доставки, а також проаналізовано загрози безпеці, пов’язані з атаками на ланцюжок постачання програмного забезпечення. Розглянуто криптографічні основи захищених оновлень і існуючі рішення для перевірки автентичності контейнерних образів. У другому розділі спроєктовано архітектуру захищеного CI/CD-конвеєра з використанням GitHub Actions, приватного контейнерного реєстру та технологій Sigstore Cosign, описано механізми keyless-підпису та формування атестацій походження збірки. У третьому розділі реалізовано прототип системи безпечного оновлення контейнерів на сервері Raspberry Pi з автоматизованою перевіркою цифрових підписів, атестацій походження та коректності версій перед розгортанням застосунків. Результати тестування підтвердили ефективність запропонованого підходу та можливість його практичного використання в DevOps-, IoT- та edge-середовищах для підвищення рівня інформаційної безпеки.
The master's thesis explores and implements a mechanism for securely updating containerized applications using cryptographic methods to verify the authenticity and integrity of software. The proposed solution is based on the construction of a secure CI/CD pipeline with an end-to-end chain of trust covering all stages of the container application lifecycle, from release formation to automatic deployment on the end device. The first chapter provides an overview of container technologies and continuous integration and delivery processes, as well as an analysis of security threats associated with attacks on the software supply chain. The cryptographic foundations of secure updates and existing solutions for authenticating container images are discussed. The second chapter designs the architecture of a secure CI/CD pipeline using GitHub Actions, a private container registry, and Sigstore Cosign technologies, and describes the mechanisms of keyless signing and the formation of build origin attestations. The third section implements a prototype of a secure container update system on a Raspberry Pi server with automated verification of digital signatures, attestations of origin, and version correctness before application deployment. Testing results confirmed the effectiveness of the proposed approach and its practical applicability in DevOps, IoT, and edge environments to improve information security.
Content: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 ОГЛЯД ПРЕДМЕТНОЇ ОБЛАСТІ 11 1.1 Сучасні системи контейнерного розгортання та безпека оновлень 11 1.2 Криптографічні алгоритми та механізми підпису 13 1.3 Існуючі рішення для захищеного оновлення контейнерів 16 1.4 Висновки до розділу 1 19 РОЗДІЛ 2 АРХІТЕКТУРА ЗАХИЩЕНОГО CI/CD ТА ЛАНЦЮЖОК ДОВІРИ 21 2.1 Схема захищеного процесу CI/CD 21 2.2 Рівень розробки 22 2.3 Рівень CI/CD 23 2.4 Рівень реєстру 27 2.5 Рівень виконання 29 2.6 Ланцюжок довіри 33 2.7 Висновки до розділу 2 35 РОЗДІЛ 3 РЕАЛІЗАЦІЯ ЗАХИЩЕНОГО CI/CD-КОНВЕЄРА ДЛЯ КОНТЕЙНЕРНИХ СИСТЕМ 37 3.1 Архітектура системи та її компоненти 37 3.2 Налаштування репозиторію та CI/CD-конвеєра 38 3.3 Процес випуску нової версії 45 3.4 Налаштування середовища розгортання на Raspberry Pi 47 3.5 Перевірка роботи системи оновлення 58 3.6 Висновки до розділу 3 59 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 61 4.1 Охорона праці 61 4.2 Вплив електромагнітного імпульсу ядерного вибуху на елементи виробництва та заходи захисту 64 ВИСНОВКИ 68 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 70 Додаток А Публікація 73
URI: http://elartu.tntu.edu.ua/handle/lib/51287
Copyright owner: © Вівчарівський Назарій Ігорович, 2025
References (Ukraine): 1. EPAM Ukraine. Docker security approach. EPAM Ukraine Blog. https://careers.epam.ua/blog/docker-security-approach
2. HackYourMom. (n.d.). Безпека Docker: безпека контейнерів (частина 5). HackYourMom. https://hackyourmom.com/en/pryvatnist/bezpeka-docker-bezpeka-kontejneriv-chastyna-5/
3. Sysdig. Secure Kubernetes deployment: Signature verification. Sysdig Blog. https://www.sysdig.com/blog/secure-kubernetes-deployment-signature-verification
4. Goyal, A. Securing your Kubernetes deployments: Docker image signing and verification with Cosign and Kyverno. Medium. https://medium.com/@anil.goyal0057/securing-your-kubernetes-deployments-docker-image-signing-and-verification-with-cosign-and-kyverno-e9bed3ae3efd
5. HackYourMom. Захоплюючий світ шифрування: огляд типів алгоритмів та їх застосувань. HackYourMom. https://hackyourmom.com/pryvatnist/zahoplyuyuchyj-svit-shyfruvannya-rozglyad-typiv-algorytmiv-ta-yih-zastosuvan/
6. Wiz. Container image signing. Wiz Academy. https://www.wiz.io/academy/container-security/container-image-signing
7. Amazon Web Services. Cryptographic signing for containers. AWS Containers Blog. https://aws.amazon.com/blogs/containers/cryptographic-signing-for-containers/
8. Collabnix. Docker Content Trust. Collabnix Documentation. https://collabnix.com/docs/docker-for-experts/docker-content-trust-18486/
9. Docker, Inc. Retiring Docker Content Trust. Docker Blog. https://www.docker.com/blog/retiring-docker-content-trust/
10. Harbor. Sign images. Harbor Documentation. https://goharbor.io/docs/2.6.0/working-with-projects/working-with-images/sign-images/
11. Hovhannisyan, G. Securing Docker images with Sigstore Cosign. Medium. https://grigorkh.medium.com/securing-docker-images-with-sigstore-cosign-208a19801b72
12. Stack Overflow. What is the point in signing tags in Git? https://stackoverflow.com/questions/5663733/what-is-the-point-in-signing-tags-in-git
13. Sysdig. How to use GitHub and Sigstore. Sysdig Documentation. https://docs.sysdig.com/en/docs/sysdig-secure/policies/supply_chain_policies/how-to-github-sigstore/
14. Sigstore. Cosign signing overview. Sigstore Documentation. https://docs.sigstore.dev/cosign/signing/overview/
15. SLSA. Provenance. Supply-chain Levels for Software Artifacts. https://slsa.dev/spec/v0.1/provenance
16. PSA Certified. Anti-rollback explained. PSA Certified Blog. https://www.psacertified.org/blog/anti-rollback-explained/
17. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning method. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
18. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36.
19. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89.
20. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7
21. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26
22. T. Lechachenko, R. Kozak, Y. Skorenkyy, O. Kramar, O. Karelina. Cybersecurity Aspects of Smart Manufacturing Transition to Industry 5.0 Model. CEUR Workshop Proceedings, 2023, 3628, pp. 325–329.
23. Y. Skorenkyy, R. Zolotyy, S. Fedak, O. Kramar, R. Kozak. Digital Twin Implementation in Transition of Smart Manufacturing to Industry 5.0 Practices. CEUR Workshop Proceedings, 2023, 3468, pp. 12–23.
24. Derkach, M., Matiuk, D., Skarga-Bandurova, I., & Zagorodna, N. (2025). CrypticWave: A zero-persistence ephemeral messaging system with client-side encryption.
25. Sachenko A.O., Kochan V.V., Bykovyy P.Ye., Zahorodnia D.I., Osolinskyy O.R., Skarga-Bandurova I.S., Derkach M.V., Orekhov O.O., Stadnik A.O., Kharchenko V.S., Fesenko H.V. Internet of Things for іntelligent transport systems: Practicum / A.O. Sachenko (Eds.) – Ministry of Education and Science of Ukraine, Ternopil National Economic University, Volodymyr Dahl East Ukrainian National University, National Aerospace University “Kharkiv Aviation Institute”, 2019. – 135 p. ISBN 978-617-7361-92-2. https://aliot.eu.org/wp-сontent/uploads/2019/10/ALIOT_ITM3_IoT-for-Int-TransSys_web.pdf
26. Stanko, A., Wieczorek, W., Mykytyshyn, A., Holotenko, O., & Lechachenko, T. (2024). Realtime air quality management: Integrating IoT and Fog computing for effective urban monitoring. CITI, 2024, 2nd.
27. Заікіна Д., Глива В. Основи охорони праці та безпека життєдіяльності. 2019. URL: https://doi.org/10.31435/rsglobal/001
28. Кучма М.М. Цивільна оборона (цивільний захист). Навчальний посібник. Львів : Магнолія 2006 . 2024. 296 с.
Content type: Master Thesis
Ebben a gyűjteményben:125 — кібербезпека, Кібербезпека та захист інформації

Fájlok a dokumentumban:
Fájl Leírás MéretFormátum 
Vivcharivskyi _Nazarii_SBm_61_2025.pdf2,45 MBAdobe PDFMegtekintés/Megnyitás
A dokumentum részletes adatai


Minden dokumentum, ami a DSpace rendszerben szerepel, szerzői jogokkal védett. Minden jog fenntartva!

Admin Tools