Google het die vorming van die eerste stabiele vrystellings van die komponente wat die Sigstore-projek vorm, aangekondig, wat geskik verklaar word vir die skep van werkende implementerings. Sigstore ontwikkel gereedskap en dienste vir sagtewareverifikasie deur digitale handtekeninge te gebruik en 'n publieke logboek in stand te hou wat die egtheid van veranderinge bevestig (deursigtigheidslogboek). Die projek word ontwikkel onder die vaandel van die nie-winsgewende organisasie Linux Foundation deur Google, Red Hat, Cisco, vmWare, GitHub en HP Enterprise met die deelname van die OpenSSF (Open Source Security Foundation) organisasie en Purdue Universiteit.
Sigstore kan beskou word as Let's Encrypt for code, wat sertifikate verskaf om kode digitaal te onderteken en gereedskap om verifikasie te outomatiseer. Met Sigstore kan ontwikkelaars toepassingsverwante artefakte digitaal onderteken soos vrystellinglêers, houerbeelde, manifeste en uitvoerbare programme. Die handtekeningmateriaal word weerspieël in 'n peutervrye publieke logboek wat vir verifikasie en ouditering gebruik kan word.
In plaas van permanente sleutels, gebruik Sigstore kortstondige kortstondige kortstondige sleutels, wat gegenereer word op grond van geloofsbriewe wat deur OpenID Connect-verskaffers bevestig is (ten tyde van die generering van die sleutels wat nodig is om 'n digitale handtekening te skep, identifiseer die ontwikkelaar homself deur die OpenID-verskaffer wat gekoppel is aan 'n e-pos). Die egtheid van die sleutels word geverifieer met behulp van 'n publieke gesentraliseerde logboek, wat dit moontlik maak om te verifieer dat die skrywer van die handtekening presies is wie hy beweer om te wees, en die handtekening is gegenereer deur dieselfde deelnemer wat verantwoordelik was vir vorige vrystellings.
Sigstore se gereedheid vir implementering is te danke aan die vorming van vrystellings van twee sleutelkomponente - Rekor 1.0 en Fulcio 1.0, waarvan die sagteware-koppelvlakke stabiel verklaar word en sal voortgaan om terugwaarts versoenbaar te wees. Die dienskomponente is in Go geskryf en onder die Apache 2.0-lisensie versprei.
Die Rekor-komponent bevat 'n log-implementering vir die berging van digitaal ondertekende metadata wat inligting oor projekte weerspieël. Om integriteit te verseker en teen data-korrupsie ná die tyd te beskerm, word 'n Merkle Tree-boomstruktuur gebruik, waarin elke tak alle onderliggende takke en nodusse deur gesamentlike (boom) hashing verifieer. Met die finale hash, kan die gebruiker die korrektheid van die hele geskiedenis van bedrywighede verifieer, sowel as die korrektheid van die vorige toestande van die databasis (die wortelverifikasie-hash van die nuwe toestand van die databasis word bereken met inagneming van die vorige toestand ). 'n RUSTIGE API word voorsien vir verifikasie en die byvoeging van nuwe rekords, sowel as 'n opdragreëlkoppelvlak.
Die Fulcio-komponent (SigStore WebPKI) sluit 'n stelsel in vir die skep van sertifiseringsowerhede (wortel-CA's) wat kortstondige sertifikate uitreik gebaseer op e-pos wat deur OpenID Connect geverifieer is. Die leeftyd van die sertifikaat is 20 minute, waartydens die ontwikkelaar tyd moet hê om 'n digitale handtekening te genereer (as die sertifikaat later in die hande van 'n aanvaller val, sal dit reeds verval wees). Daarbenewens ontwikkel die projek die Cosign (Container Signing) gereedskapstel, wat ontwerp is om handtekeninge vir houers te genereer, handtekeninge te verifieer en getekende houers te plaas in bewaarplekke wat versoenbaar is met OCI (Open Container Initiative).
Die implementering van Sigstore maak dit moontlik om die sekuriteit van programverspreidingskanale te verhoog en te beskerm teen aanvalle wat daarop gemik is om biblioteke en afhanklikhede te vervang (voorsieningsketting). Een van die belangrikste sekuriteitsprobleme in oopbronsagteware is die moeilikheid om die bron van die program te verifieer en die bouproses te verifieer. Die meeste projekte gebruik byvoorbeeld hashes om die integriteit van 'n vrystelling te verifieer, maar dikwels word die inligting wat nodig is vir stawing op onbeskermde stelsels en in gedeelde kodebewaarplekke gestoor, as gevolg daarvan kan aanvallers die lêers wat nodig is vir verifikasie kompromitteer en kwaadwillige veranderinge instel. sonder om agterdog te wek.
Die gebruik van digitale handtekeninge vir vrystellingsverifikasie het nog nie wydverspreid geword nie as gevolg van probleme met die bestuur van sleutels, die verspreiding van publieke sleutels en die herroeping van gekompromitteerde sleutels. Om vir verifikasie sin te maak, is dit ook nodig om 'n betroubare en veilige proses vir die verspreiding van publieke sleutels en kontrolesomme te organiseer. Selfs met 'n digitale handtekening ignoreer baie gebruikers verifikasie omdat hulle tyd moet spandeer om die verifikasieproses te leer en te verstaan watter sleutel betroubaar is. Die Sigstore-projek poog om hierdie prosesse te vereenvoudig en te outomatiseer deur 'n klaargemaakte en bewese oplossing te verskaf.
Bron: opennet.ru