1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: http://elartu.tntu.edu.ua/handle/lib/51287
Назва: Механізм безпечного оновлення контейнерів із застосуванням криптографії
Інші назви: Secure Container Update Mechanism using Cryptography
Автори: Вівчарівський, Назарій Ігорович
Vivcharivskyi, Nazarii
Приналежність: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Бібліографічний опис: Вівчарівський Н. І. Механізм безпечного оновлення контейнерів із застосуванням криптографії : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / Н. І. Вівчарівський. — Тернопіль: ТНТУ, 2025. — 74 с.
Дата публікації: 22-гру-2025
Дата подання: 2-січ-2026
Дата внесення: 12-січ-2026
Країна (код): UA
Місце видання, проведення: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Науковий керівник: Лечаченко, Тарас Анатолійович
Lechachenko, Taras
Члени комітету: Никитюк, Вячеслав Вячеславович
Nikityuk, Vyacheslav
УДК: 004.056.5
Теми: підписування артефактів
cosign
автоматизація робочих процесів
github actions
контейнеризація
docker
безперервна інтеграція та доставка
ci/cd
перевірка походження та довіри
sigstore
рівні безпеки ланцюга постачання
slsa
Короткий огляд (реферат): У кваліфікаційній роботі магістра досліджено та реалізовано механізм безпечного оновлення контейнеризованих застосунків із використанням криптографічних методів перевірки автентичності та цілісності програмного забезпечення. Запропоноване рішення базується на побудові захищеного CI/CD-конвеєра з наскрізним ланцюжком довіри, що охоплює всі етапи життєвого циклу контейнерного застосунку, від формування релізу до автоматичного розгортання на кінцевому пристрої. У першому розділі виконано огляд контейнерних технологій і процесів безперервної інтеграції та доставки, а також проаналізовано загрози безпеці, пов’язані з атаками на ланцюжок постачання програмного забезпечення. Розглянуто криптографічні основи захищених оновлень і існуючі рішення для перевірки автентичності контейнерних образів. У другому розділі спроєктовано архітектуру захищеного CI/CD-конвеєра з використанням GitHub Actions, приватного контейнерного реєстру та технологій Sigstore Cosign, описано механізми keyless-підпису та формування атестацій походження збірки. У третьому розділі реалізовано прототип системи безпечного оновлення контейнерів на сервері Raspberry Pi з автоматизованою перевіркою цифрових підписів, атестацій походження та коректності версій перед розгортанням застосунків. Результати тестування підтвердили ефективність запропонованого підходу та можливість його практичного використання в DevOps-, IoT- та edge-середовищах для підвищення рівня інформаційної безпеки.
The master's thesis explores and implements a mechanism for securely updating containerized applications using cryptographic methods to verify the authenticity and integrity of software. The proposed solution is based on the construction of a secure CI/CD pipeline with an end-to-end chain of trust covering all stages of the container application lifecycle, from release formation to automatic deployment on the end device. The first chapter provides an overview of container technologies and continuous integration and delivery processes, as well as an analysis of security threats associated with attacks on the software supply chain. The cryptographic foundations of secure updates and existing solutions for authenticating container images are discussed. The second chapter designs the architecture of a secure CI/CD pipeline using GitHub Actions, a private container registry, and Sigstore Cosign technologies, and describes the mechanisms of keyless signing and the formation of build origin attestations. The third section implements a prototype of a secure container update system on a Raspberry Pi server with automated verification of digital signatures, attestations of origin, and version correctness before application deployment. Testing results confirmed the effectiveness of the proposed approach and its practical applicability in DevOps, IoT, and edge environments to improve information security.
Зміст: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 ОГЛЯД ПРЕДМЕТНОЇ ОБЛАСТІ 11 1.1 Сучасні системи контейнерного розгортання та безпека оновлень 11 1.2 Криптографічні алгоритми та механізми підпису 13 1.3 Існуючі рішення для захищеного оновлення контейнерів 16 1.4 Висновки до розділу 1 19 РОЗДІЛ 2 АРХІТЕКТУРА ЗАХИЩЕНОГО CI/CD ТА ЛАНЦЮЖОК ДОВІРИ 21 2.1 Схема захищеного процесу CI/CD 21 2.2 Рівень розробки 22 2.3 Рівень CI/CD 23 2.4 Рівень реєстру 27 2.5 Рівень виконання 29 2.6 Ланцюжок довіри 33 2.7 Висновки до розділу 2 35 РОЗДІЛ 3 РЕАЛІЗАЦІЯ ЗАХИЩЕНОГО CI/CD-КОНВЕЄРА ДЛЯ КОНТЕЙНЕРНИХ СИСТЕМ 37 3.1 Архітектура системи та її компоненти 37 3.2 Налаштування репозиторію та CI/CD-конвеєра 38 3.3 Процес випуску нової версії 45 3.4 Налаштування середовища розгортання на Raspberry Pi 47 3.5 Перевірка роботи системи оновлення 58 3.6 Висновки до розділу 3 59 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 61 4.1 Охорона праці 61 4.2 Вплив електромагнітного імпульсу ядерного вибуху на елементи виробництва та заходи захисту 64 ВИСНОВКИ 68 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 70 Додаток А Публікація 73
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/51287
Власник авторського права: © Вівчарівський Назарій Ігорович, 2025
Перелік літератури: 1. EPAM Ukraine. Docker security approach. EPAM Ukraine Blog. https://careers.epam.ua/blog/docker-security-approach
2. HackYourMom. (n.d.). Безпека Docker: безпека контейнерів (частина 5). HackYourMom. https://hackyourmom.com/en/pryvatnist/bezpeka-docker-bezpeka-kontejneriv-chastyna-5/
3. Sysdig. Secure Kubernetes deployment: Signature verification. Sysdig Blog. https://www.sysdig.com/blog/secure-kubernetes-deployment-signature-verification
4. Goyal, A. Securing your Kubernetes deployments: Docker image signing and verification with Cosign and Kyverno. Medium. https://medium.com/@anil.goyal0057/securing-your-kubernetes-deployments-docker-image-signing-and-verification-with-cosign-and-kyverno-e9bed3ae3efd
5. HackYourMom. Захоплюючий світ шифрування: огляд типів алгоритмів та їх застосувань. HackYourMom. https://hackyourmom.com/pryvatnist/zahoplyuyuchyj-svit-shyfruvannya-rozglyad-typiv-algorytmiv-ta-yih-zastosuvan/
6. Wiz. Container image signing. Wiz Academy. https://www.wiz.io/academy/container-security/container-image-signing
7. Amazon Web Services. Cryptographic signing for containers. AWS Containers Blog. https://aws.amazon.com/blogs/containers/cryptographic-signing-for-containers/
8. Collabnix. Docker Content Trust. Collabnix Documentation. https://collabnix.com/docs/docker-for-experts/docker-content-trust-18486/
9. Docker, Inc. Retiring Docker Content Trust. Docker Blog. https://www.docker.com/blog/retiring-docker-content-trust/
10. Harbor. Sign images. Harbor Documentation. https://goharbor.io/docs/2.6.0/working-with-projects/working-with-images/sign-images/
11. Hovhannisyan, G. Securing Docker images with Sigstore Cosign. Medium. https://grigorkh.medium.com/securing-docker-images-with-sigstore-cosign-208a19801b72
12. Stack Overflow. What is the point in signing tags in Git? https://stackoverflow.com/questions/5663733/what-is-the-point-in-signing-tags-in-git
13. Sysdig. How to use GitHub and Sigstore. Sysdig Documentation. https://docs.sysdig.com/en/docs/sysdig-secure/policies/supply_chain_policies/how-to-github-sigstore/
14. Sigstore. Cosign signing overview. Sigstore Documentation. https://docs.sigstore.dev/cosign/signing/overview/
15. SLSA. Provenance. Supply-chain Levels for Software Artifacts. https://slsa.dev/spec/v0.1/provenance
16. PSA Certified. Anti-rollback explained. PSA Certified Blog. https://www.psacertified.org/blog/anti-rollback-explained/
17. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning method. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
18. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36.
19. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89.
20. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7
21. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26
22. T. Lechachenko, R. Kozak, Y. Skorenkyy, O. Kramar, O. Karelina. Cybersecurity Aspects of Smart Manufacturing Transition to Industry 5.0 Model. CEUR Workshop Proceedings, 2023, 3628, pp. 325–329.
23. Y. Skorenkyy, R. Zolotyy, S. Fedak, O. Kramar, R. Kozak. Digital Twin Implementation in Transition of Smart Manufacturing to Industry 5.0 Practices. CEUR Workshop Proceedings, 2023, 3468, pp. 12–23.
24. Derkach, M., Matiuk, D., Skarga-Bandurova, I., & Zagorodna, N. (2025). CrypticWave: A zero-persistence ephemeral messaging system with client-side encryption.
25. Sachenko A.O., Kochan V.V., Bykovyy P.Ye., Zahorodnia D.I., Osolinskyy O.R., Skarga-Bandurova I.S., Derkach M.V., Orekhov O.O., Stadnik A.O., Kharchenko V.S., Fesenko H.V. Internet of Things for іntelligent transport systems: Practicum / A.O. Sachenko (Eds.) – Ministry of Education and Science of Ukraine, Ternopil National Economic University, Volodymyr Dahl East Ukrainian National University, National Aerospace University “Kharkiv Aviation Institute”, 2019. – 135 p. ISBN 978-617-7361-92-2. https://aliot.eu.org/wp-сontent/uploads/2019/10/ALIOT_ITM3_IoT-for-Int-TransSys_web.pdf
26. Stanko, A., Wieczorek, W., Mykytyshyn, A., Holotenko, O., & Lechachenko, T. (2024). Realtime air quality management: Integrating IoT and Fog computing for effective urban monitoring. CITI, 2024, 2nd.
27. Заікіна Д., Глива В. Основи охорони праці та безпека життєдіяльності. 2019. URL: https://doi.org/10.31435/rsglobal/001
28. Кучма М.М. Цивільна оборона (цивільний захист). Навчальний посібник. Львів : Магнолія 2006 . 2024. 296 с.
Тип вмісту: Master Thesis
Розташовується у зібраннях:125 — кібербезпека, Кібербезпека та захист інформації

Файли цього матеріалу:
Файл Опис РозмірФормат 
Vivcharivskyi _Nazarii_SBm_61_2025.pdf2,45 MBAdobe PDFПереглянути/відкрити
Показати повний опис матеріалу Перегляд статистики


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.

Інструменти адміністратора