Ang Red Hat ug Google, kauban ang Purdue University, nagtukod sa proyekto sa Sigstore, nga nagtumong sa paghimo sa mga himan ug serbisyo alang sa pag-verify sa software gamit ang mga digital nga pirma ug pagmentinar sa usa ka publiko nga log aron makumpirma ang pagkatinuod (transparency log). Ang proyekto pauswagon ubos sa pagdumala sa non-profit nga organisasyon nga Linux Foundation.
Ang gisugyot nga proyekto makapauswag sa seguridad sa mga agianan sa pag-apod-apod sa software ug mapanalipdan batok sa mga pag-atake nga gitumong sa pag-ilis sa mga sangkap sa software ug mga dependency (supply chain). Usa sa mga hinungdan nga problema sa seguridad sa open source software mao ang kalisud sa pag-verify sa gigikanan sa programa ug pag-verify sa proseso sa pagtukod. Pananglitan, kadaghanan sa mga proyekto naggamit og mga hash aron mapamatud-an ang integridad sa usa ka pagpagawas, apan sa kasagaran ang impormasyon nga gikinahanglan alang sa pag-authenticate gitipigan sa mga sistema nga walay panalipod ug sa gipaambit nga mga tipiganan sa code, ingon nga resulta diin ang mga tig-atake mahimong makompromiso ang mga file nga gikinahanglan alang sa pag-verify ug pagpaila sa malisyosong mga pagbag-o. sa walay pagpataas sa pagduda.
Gamay ra nga proporsiyon sa mga proyekto ang naggamit ug digital nga mga pirma sa dihang nag-apod-apod sa mga pagpagawas tungod sa mga kalisud sa pagdumala sa mga yawe, pag-apod-apod sa mga publikong yawe, ug pagbawi sa nakompromiso nga mga yawe. Aron masabtan ang pag-verify, gikinahanglan usab ang pag-organisar sa usa ka kasaligan ug luwas nga proseso alang sa pag-apod-apod sa mga yawe sa publiko ug mga checksum. Bisan sa usa ka digital nga pirma, daghang mga tiggamit ang wala magtagad sa pag-verify tungod kay kinahanglan nila nga mogahin og oras sa pagtuon sa proseso sa pag-verify ug pagsabut kung unsang yawe ang kasaligan.
Ang Sigstore giila nga katumbas sa Let's Encrypt alang sa code, nga naghatag og mga sertipiko alang sa digitally signing code ug mga himan alang sa pag-automate sa pag-verify. Uban sa Sigstore, ang mga developers mahimong makapirma sa digital nga mga artifact nga may kalabutan sa aplikasyon sama sa pagpagawas sa mga file, mga hulagway sa sudlanan, mga manifest, ug mga executable. Usa ka espesyal nga bahin sa Sigstore mao nga ang materyal nga gigamit alang sa pagpirma makita sa usa ka tamper-proof public log nga magamit alang sa pag-verify ug pag-audit.
Imbis nga permanente nga mga yawe, ang Sigstore naggamit sa mga mubu nga kinabuhi nga ephemeral nga mga yawe, nga namugna base sa mga kredensyal nga gikumpirma sa mga provider sa OpenID Connect (sa panahon sa pagmugna og mga yawe alang sa usa ka digital nga pirma, ang developer nagpaila sa iyang kaugalingon pinaagi sa usa ka OpenID provider nga nalambigit sa usa ka email). Ang pagkakasaligan sa mga yawe gipamatud-an gamit ang usa ka publiko nga sentralisadong log, nga nagpaposible sa pag-verify nga ang tagsulat sa pirma mao gyud ang iyang giangkon ug ang pirma giumol sa parehas nga partisipante nga responsable sa nangaging mga pagpagawas.
Ang Sigstore naghatag sa duha ka andam nga serbisyo nga mahimo na nimong gamiton, ug usa ka hugpong sa mga himan nga nagtugot kanimo sa pag-deploy sa susamang mga serbisyo sa imong kaugalingong kagamitan. Ang serbisyo libre para sa tanang developers ug software providers, ug gi-deploy sa neyutral nga plataporma - ang Linux Foundation. Ang tanan nga mga sangkap sa serbisyo bukas nga gigikanan, gisulat sa Go ug giapod-apod sa ilawom sa lisensya sa Apache 2.0.
Lakip sa naugmad nga mga sangkap atong mamatikdan:
- Ang Rekor usa ka pagpatuman sa log alang sa pagtipig sa digitally signed metadata nga nagpakita sa impormasyon bahin sa mga proyekto. Aron masiguro ang integridad ug mapanalipdan batok sa korapsyon sa datos pagkahuman sa kamatuoran, gigamit ang usa ka sama sa kahoy nga istruktura nga "Merkle Tree", diin ang matag sanga nagpamatuod sa tanan nga nagpahiping mga sanga ug mga buko, salamat sa hiniusa nga (sama sa kahoy) nga pag-hash. Ang pagbaton sa katapusan nga hash, ang user mahimong mapamatud-an ang pagkahusto sa tibuok nga kasaysayan sa mga operasyon, ingon man ang pagkahusto sa nangaging mga estado sa database (ang root verification hash sa bag-ong estado sa database gikalkula nga gikonsiderar ang nangagi nga estado. ). Aron mapamatud-an ug makadugang bag-ong mga rekord, usa ka Restful API ang gihatag, ingon man usa ka cli interface.
- Ang Fulcio (SigStore WebPKI) usa ka sistema sa pagmugna og mga awtoridad sa sertipikasyon (Root-CAs) nga nag-isyu og mubo nga kinabuhi nga mga sertipiko base sa email nga gi-authenticate pinaagi sa OpenID Connect. Ang tibuok kinabuhi sa sertipiko mao ang 20 minutos, diin ang developer kinahanglan nga adunay panahon sa pagmugna og usa ka digital nga pirma (kung ang sertipiko sa ulahi mahulog sa mga kamot sa usa ka tig-atake, kini ma-expire na).
- Ang Π‘osign (Container Signing) usa ka toolkit para sa pagmugna og mga pirma para sa mga sudlanan, pag-verify sa mga pirma ug pagbutang og pinirmahan nga mga sudlanan sa mga repository nga compatible sa OCI (Open Container Initiative).
Source: opennet.ru