Confiance et provenance Helm : signer vos charts pour sécuriser la supply chain

Objectif du module

Signer des charts Helm avec GPG, vérifier l'intégrité avant installation, et sécuriser votre chaîne d'approvisionnement.

La provenance Helm garantit que le chart que vous installez provient bien de l'auteur attendu et n'a pas été modifié. Un fichier .prov contient une signature cryptographique du chart, si le chart est altéré, la vérification échoue. En production, c'est une couche de sécurité essentielle contre les attaques de type supply chain.

Prérequis

• Helm 3.8+ installé
• GPG installé (gpg --version)
• Un chart prêt à signer
• Module 10, OCI registries (recommandé)

Ce que vous allez apprendre

• Pourquoi signer ses charts
• Créer une clé GPG
• Signer un chart
• Vérifier un chart avant installation
• Distribuer la clé publique
• Limites et alternatives

---

Pourquoi signer ses charts

Le problème : la supply chain attack

Imaginez ce scénario :

1. Vous utilisez un chart public bitnami/postgresql
2. Un attaquant compromet le repository ou fait du man-in-the-middle
3. Vous téléchargez un chart modifié avec un backdoor
4. Le backdoor s'exécute dans votre cluster → compromission

Risque réel

En 2020-2024, plusieurs attaques supply chain ont ciblé des packages (npm, PyPI, crates.io). Les charts Helm ne sont pas immunisés. La signature cryptographique est la seule garantie que le contenu n'a pas été altéré.

Ce que garantit la signature Helm

Aspect	Garantie
Intégrité	Le chart n'a pas été modifié depuis la signature
Authenticité	Le chart a été signé par le détenteur de la clé privée
Non-répudiation	L'auteur ne peut pas nier avoir signé

Glissez pour voir

Ce que la signature ne garantit pas

Aspect	Limitation
Qualité du code	Un chart signé peut contenir des bugs ou vulnérabilités
Intention malveillante	L'auteur légitime peut publier un chart malveillant
Sécurité de la clé	Si la clé privée est compromise, les signatures sont inutiles

Glissez pour voir

---

Créer une clé GPG

1. Générer une paire de clés

   gpg --full-generate-key

   Choisissez :

   • Type : RSA and RSA (option 1)
   • Taille : 4096 bits
   • Expiration : 2 ans (recommandé)
   • Identité : Helm Charts <helm@example.com>

2. Lister les clés disponibles

   gpg --list-secret-keys --keyid-format LONG

   Résultat :

   sec   rsa4096/ABCD1234EFGH5678 2026-02-01 [SC] [expires: 2028-02-01]
         Key fingerprint = 1234 5678 ABCD EFGH ...
   uid                 [ultimate] Helm Charts <helm@example.com>

   Notez l'ID de la clé : ABCD1234EFGH5678

3. Exporter la clé publique

   gpg --armor --export ABCD1234EFGH5678 > helm-charts.pub.asc

   Ce fichier sera distribué aux utilisateurs pour vérifier vos charts.

Clé dédiée pour CI/CD

Créez une clé séparée pour la signature automatique en CI/CD. Protégez la clé privée dans un secret manager (Vault, GitLab CI secrets). Ne partagez jamais la clé privée.

---

Signer un chart

Signature manuelle

# Packager ET signer en une commande
helm package ./my-chart --sign --key "Helm Charts" --keyring ~/.gnupg/secring.gpg

Keyring GPG

Helm utilise l'ancien format de keyring GPG. Sur les versions récentes de GPG, exportez d'abord :

gpg --export-secret-keys > ~/.gnupg/secring.gpg

Résultat

Deux fichiers sont créés :

my-chart-1.2.3.tgz       # Le chart packagé
my-chart-1.2.3.tgz.prov  # Le fichier de provenance (signature)

Contenu du fichier .prov

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

apiVersion: v2
appVersion: "2.0.0"
description: My awesome chart
name: my-chart
version: 1.2.3

...
files:
  my-chart-1.2.3.tgz: sha256:abc123def456...
-----BEGIN PGP SIGNATURE-----
...
-----END PGP SIGNATURE-----

Le .prov contient :

• Les métadonnées du chart
• Le hash SHA256 du tarball
• La signature GPG de l'ensemble

---

Vérifier un chart avant installation

Vérification avec clé importée

1. Importer la clé publique de l'auteur

   gpg --import helm-charts.pub.asc

2. Vérifier le chart

   helm verify my-chart-1.2.3.tgz

   Succès :

   Signed by: Helm Charts <helm@example.com>
   Using Key With Fingerprint: 1234 5678 ABCD EFGH ...
   Chart Hash Verified: sha256:abc123def456...

3. Installer si vérifié

   helm install my-release my-chart-1.2.3.tgz -n prod

Que faire si la vérification échoue ?

Erreur	Cause probable	Action
Error: could not find a valid signature	Fichier .prov manquant	Contacter l'auteur, télécharger le .prov
Error: signature verification failed	Chart modifié ou mauvaise clé	Ne pas installer, télécharger depuis source officielle
Error: key not found	Clé publique non importée	Importer la clé de l'auteur

Glissez pour voir

Vérification échouée = danger

Si helm verify échoue, n'installez jamais le chart. Soit le chart a été altéré, soit vous n'avez pas la bonne clé. Dans les deux cas, investiguez avant de continuer.

---

Distribuer la clé publique

Options de distribution

Méthode	Avantages	Inconvénients
README du repo	Simple, visible	Peut être modifié par un attaquant
Keyserver public	Standard GPG, décentralisé	Peut contenir des clés abandonnées
Site web HTTPS	Contrôle total, HTTPS = TLS	Nécessite infra web
DNS (DANE)	Très sécurisé	Complexe à configurer

Glissez pour voir

Publication sur keyserver

# Envoyer la clé sur un keyserver public
gpg --keyserver keyserver.ubuntu.com --send-keys ABCD1234EFGH5678

Récupération par les utilisateurs

# Télécharger la clé depuis un keyserver
gpg --keyserver keyserver.ubuntu.com --recv-keys ABCD1234EFGH5678

---

Workflow complet en CI/CD

.gitlab-ci.yml

variables:
  GPG_KEY_ID: "ABCD1234EFGH5678"

package-and-sign:
  stage: build
  script:
    # Importer la clé privée depuis les secrets
    - echo "$GPG_PRIVATE_KEY" | gpg --import
    - gpg --export-secret-keys > ~/.gnupg/secring.gpg

    # Packager et signer
    - helm package ./charts/my-chart --sign --key "$GPG_KEY_ID" --keyring ~/.gnupg/secring.gpg

    # Publier chart + provenance
    - helm push my-chart-*.tgz oci://registry.example.com/charts
    # Note: le .prov doit être publié séparément ou avec le chart
  artifacts:
    paths:
      - "*.tgz"
      - "*.tgz.prov"

---

Limites et alternatives

Limites de la signature Helm native

Limitation	Impact
GPG uniquement	Pas de support natif pour d'autres systèmes (Cosign, Notation)
.prov séparé	Doit être distribué en plus du chart
Pas d'intégration OCI native	Le .prov ne fait pas partie de l'artefact OCI
Gestion des clés manuelle	Rotation, révocation à gérer vous-même

Glissez pour voir

Alternative moderne : Cosign + OCI

Cosign (projet Sigstore) permet de signer des artefacts OCI (y compris des charts Helm) :

# Signer un chart OCI avec Cosign
cosign sign oci://registry.example.com/charts/my-chart:1.2.3

# Vérifier
cosign verify oci://registry.example.com/charts/my-chart:1.2.3

Avantages de Cosign :

• Signature intégrée à l'artefact OCI (pas de fichier séparé)
• Support des clés éphémères (keyless signing via OIDC)
• Intégration native avec les registries OCI

Recommandation 2026

Pour les nouveaux projets, privilégiez Cosign pour la signature des charts OCI. La signature GPG native Helm reste pertinente pour les repos HTTP classiques ou les environnements sans OCI.

---

Lab C2, Signer et vérifier un chart

Objectif : Créer une clé GPG, signer un chart, publier chart + provenance, vérifier l'intégrité avant installation.

1. Créer une clé de test

   # Clé rapide pour le lab (pas pour production)
   gpg --batch --gen-key <<EOF
   Key-Type: RSA
   Key-Length: 2048
   Name-Real: Helm Lab
   Name-Email: helm-lab@local
   Expire-Date: 1d
   %no-protection
   %commit
   EOF
   
   # Récupérer l'ID
   GPG_KEY=$(gpg --list-secret-keys --keyid-format LONG | grep sec | awk '{print $2}' | cut -d'/' -f2 | head -1)
   echo "Key ID: $GPG_KEY"

2. Exporter le keyring

   gpg --export-secret-keys > ~/.gnupg/secring.gpg

3. Créer et signer un chart

   helm create lab-signed-chart
   helm package lab-signed-chart --sign --key "Helm Lab" --keyring ~/.gnupg/secring.gpg

4. Vérifier la signature

   # La clé publique est déjà importée (on l'a créée localement)
   helm verify lab-signed-chart-0.1.0.tgz

5. Simuler une altération

   # Décompresser le chart
   tar -xzf lab-signed-chart-0.1.0.tgz
   
   # Modifier un fichier
   echo "# Malicious change" >> lab-signed-chart/values.yaml
   
   # Recompresser
   tar -czf lab-signed-chart-0.1.0.tgz lab-signed-chart
   
   # Tenter de vérifier → doit échouer
   helm verify lab-signed-chart-0.1.0.tgz

6. Nettoyer

   rm -rf lab-signed-chart lab-signed-chart-*.tgz*
   gpg --delete-secret-and-public-key "Helm Lab"

Critères de réussite :

• Clé GPG créée
• Chart signé avec .prov généré
• helm verify réussit sur le chart original
• helm verify échoue sur le chart altéré

---

À retenir

• Provenance = garantie d'intégrité et d'authenticité via signature cryptographique
• helm package --sign = créer le chart + fichier .prov
• helm verify = vérifier la signature avant installation
• Clé privée = secrète, protégée, jamais partagée
• Clé publique = distribuée aux utilisateurs pour vérification
• Alternative moderne : Cosign pour les artefacts OCI

---

Prochaines étapes

12, CI/CD packaging Automatiser lint, sign, package et publish

Cosign Signer des artefacts OCI avec Sigstore

Supply chain security Sécuriser la chaîne d'approvisionnement logicielle

Cosign Signer des artefacts OCI avec Sigstore

×

📖 Voir la documentation →