Google, Sigstore layihəsini təşkil edən komponentlərin ilk stabil buraxılışlarının formalaşdığını elan etdi və bu, işçi tətbiqlər yaratmaq üçün uyğun elan edildi. Sigstore rəqəmsal imzalardan istifadə edərək proqram təminatının yoxlanılması və dəyişikliklərin həqiqiliyini təsdiq edən ictimai jurnalın (şəffaflıq jurnalı) aparılması üçün alətlər və xidmətlər hazırlayır. Layihə Linux Foundation qeyri-kommersiya təşkilatının himayəsi altında Google, Red Hat, Cisco, vmWare, GitHub və HP Enterprise tərəfindən OpenSSF (Open Source Security Foundation) təşkilatı və Purdue Universitetinin iştirakı ilə hazırlanır.
Sigstore kodu rəqəmsal imzalamaq üçün sertifikatlar və yoxlamanı avtomatlaşdırmaq üçün alətlər təqdim edən Let's Encrypt for Code kimi düşünülə bilər. Sigstore ilə tərtibatçılar buraxılış faylları, konteyner şəkilləri, manifestlər və icra olunanlar kimi proqramla əlaqəli artefaktları rəqəmsal olaraq imzalaya bilərlər. İmza materialı yoxlama və yoxlama üçün istifadə oluna bilən saxtakarlığa qarşı ictimai jurnalda əks olunur.
Daimi açarlar əvəzinə, Sigstore qısamüddətli efemer açarlardan istifadə edir, bunlar OpenID Connect provayderləri tərəfindən təsdiq edilmiş etimadnamələr əsasında yaradılır (rəqəmsal imza yaratmaq üçün lazım olan açarları yaradan zaman, tərtibatçı özünü OpenID provayderi vasitəsilə müəyyən edir. e-poçt). Açarların həqiqiliyi ictimai mərkəzləşdirilmiş jurnaldan istifadə etməklə yoxlanılır ki, bu da imzanın müəllifinin özünün iddia etdiyi şəxs olduğunu və imzanın keçmiş buraxılışlara cavabdeh olan eyni iştirakçı tərəfindən yaradıldığını yoxlamağa imkan verir.
Sigstore-un həyata keçirməyə hazır olması iki əsas komponentin - Rekor 1.0 və Fulcio 1.0-ın buraxılışlarının formalaşması ilə bağlıdır, onların proqram interfeysləri stabil elan edilmiş və geriyə uyğun olmaqda davam edəcəkdir. Xidmət komponentləri Go-da yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır.
Rekor komponenti layihələr haqqında məlumatları əks etdirən rəqəmsal imzalanmış metadataların saxlanması üçün log tətbiqini ehtiva edir. Dürüstlüyü təmin etmək və faktdan sonra məlumatların korlanmasından qorunmaq üçün Merkle Tree ağac strukturundan istifadə olunur, burada hər bir budaq birgə (ağac) hashing vasitəsilə bütün əsas budaqları və qovşaqları yoxlayır. Son hash əldə edərək istifadəçi bütün əməliyyatlar tarixinin düzgünlüyünü, həmçinin verilənlər bazasının keçmiş vəziyyətlərinin düzgünlüyünü yoxlaya bilər (verilənlər bazasının yeni vəziyyətinin kök yoxlama hashı keçmiş vəziyyət nəzərə alınmaqla hesablanır) ). Doğrulama və yeni qeydlər əlavə etmək üçün RESTful API, həmçinin komanda xətti interfeysi təmin edilir.
Fulcio komponentinə (SigStore WebPKI) OpenID Connect vasitəsilə təsdiqlənmiş e-poçt əsasında qısamüddətli sertifikatlar verən sertifikatlaşdırma orqanlarının (kök CA) yaradılması sistemi daxildir. Sertifikatın istifadə müddəti 20 dəqiqədir, bu müddət ərzində tərtibatçının rəqəmsal imza yaratmaq üçün vaxtı olmalıdır (əgər sertifikat sonradan təcavüzkarın əlinə keçərsə, onun müddəti artıq başa çatacaq). Bundan əlavə, layihə konteynerlər üçün imza yaratmaq, imzaları yoxlamaq və imzalanmış konteynerləri OCI (Açıq Konteyner Təşəbbüsü) ilə uyğun gələn repozitoriyalarda yerləşdirmək üçün nəzərdə tutulmuş Cosign (Konteyner İmzalanması) alət dəstini hazırlayır.
Sigstore-un tətbiqi proqram paylama kanallarının təhlükəsizliyini artırmağa və kitabxanaları və asılılıqları (təchizat zənciri) əvəz etməyə yönəlmiş hücumlardan qorunmağa imkan verir. Açıq mənbəli proqram təminatının əsas təhlükəsizlik problemlərindən biri proqramın mənbəyini yoxlamaq və qurma prosesini yoxlamaq çətinliyidir. Məsələn, əksər layihələr buraxılışın bütövlüyünü yoxlamaq üçün heşlərdən istifadə edir, lakin tez-tez autentifikasiya üçün lazım olan məlumat qorunmayan sistemlərdə və paylaşılan kod anbarlarında saxlanılır, bunun nəticəsində təcavüzkarlar yoxlama üçün lazım olan faylları poza və zərərli dəyişikliklər edə bilərlər. şübhə doğurmadan.
Rəqəmsal imzaların buraxılışların yoxlanılması üçün istifadəsi açarların idarə edilməsində, açıq açarların paylanmasında və pozulmuş açarların ləğv edilməsində çətinliklər səbəbindən hələ də geniş yayılmayıb. Doğrulamanın mənalı olması üçün əlavə olaraq açıq açarların və yoxlama məbləğlərinin paylanması üçün etibarlı və təhlükəsiz prosesi təşkil etmək lazımdır. Rəqəmsal imza ilə belə, bir çox istifadəçi doğrulamağa məhəl qoymur, çünki onlar yoxlama prosesini öyrənməyə və hansı açarın etibarlı olduğunu başa düşməyə vaxt sərf etməlidirlər. Sigstore layihəsi hazır və sübut edilmiş həll yolu təqdim etməklə bu prosesləri sadələşdirməyə və avtomatlaşdırmağa çalışır.
Mənbə: opennet.ru