Cyhoeddodd Google y datganiadau sefydlog cyntaf o gydrannau sy'n ffurfio prosiect Sigstore, sydd wedi'i ddatgan yn barod i'w defnyddio mewn cynhyrchiad. Mae Sigstore yn datblygu offer a gwasanaethau ar gyfer gwirio meddalwedd gan ddefnyddio llofnodion digidol a chynnal log cyhoeddus sy'n cadarnhau dilysrwydd newidiadau (log tryloywder). Mae'r prosiect yn cael ei ddatblygu dan nawdd sefydliad di-elw. Linux Sefydliad gan Google, Red Hat, Cisco, vmWare, GitHub, a HP Enterprise, gyda chyfranogiad gan y Sefydliad Diogelwch Ffynhonnell Agored (OpenSSF) a Phrifysgol Purdue.
Gellir meddwl am Sigstore fel Let's Encrypt for code, gan ddarparu tystysgrifau i lofnodi cod yn ddigidol ac offer i awtomeiddio dilysu. Gyda Sigstore, gall datblygwyr lofnodi arteffactau sy'n gysylltiedig â chymwysiadau yn ddigidol fel ffeiliau rhyddhau, delweddau cynhwysydd, maniffestau, a nwyddau gweithredadwy. Adlewyrchir y deunydd llofnod mewn log cyhoeddus atal ymyrraeth y gellir ei ddefnyddio ar gyfer dilysu ac archwilio.
Yn lle bysellau parhaol, mae Sigstore yn defnyddio allweddi byrhoedlog, sy'n cael eu cynhyrchu ar sail tystlythyrau a gadarnhawyd gan ddarparwyr OpenID Connect (ar adeg cynhyrchu'r allweddi sy'n angenrheidiol i greu llofnod digidol, mae'r datblygwr yn adnabod ei hun trwy'r darparwr OpenID sy'n gysylltiedig â e-bost). Mae dilysrwydd yr allweddi yn cael ei wirio gan ddefnyddio log canolog cyhoeddus, sy'n ei gwneud hi'n bosibl gwirio mai awdur y llofnod yn union y mae'n honni ei fod, a chynhyrchwyd y llofnod gan yr un cyfranogwr a oedd yn gyfrifol am ddatganiadau blaenorol.
Mae parodrwydd Sigstore ar gyfer gweithredu yn ganlyniad i ffurfio datganiadau o ddwy gydran allweddol - Rekor 1.0 a Fulcio 1.0, y mae rhyngwynebau meddalwedd y rhain wedi'u datgan yn sefydlog a byddant yn parhau i fod yn gydnaws yn ôl. Mae'r cydrannau gwasanaeth wedi'u hysgrifennu yn Go a'u dosbarthu o dan drwydded Apache 2.0.
Mae cydran Rekor yn cynnwys gweithrediad log ar gyfer storio metadata wedi'i lofnodi'n ddigidol sy'n adlewyrchu gwybodaeth am brosiectau. Er mwyn sicrhau cywirdeb ac amddiffyn rhag llygredd data ar ôl y ffaith, defnyddir strwythur coed Merkle Tree, lle mae pob cangen yn gwirio'r holl ganghennau a nodau gwaelodol trwy stwnsio ar y cyd (coed). Gyda'r stwnsh terfynol, gall y defnyddiwr wirio cywirdeb hanes cyfan y gweithrediadau, yn ogystal â chywirdeb cyflwr y gronfa ddata yn y gorffennol (mae stwnsh gwirio gwraidd cyflwr newydd y gronfa ddata yn cael ei gyfrifo gan ystyried cyflwr y gorffennol ). Darperir API RESTful ar gyfer gwirio ac ychwanegu cofnodion newydd, yn ogystal â rhyngwyneb llinell orchymyn.
Mae cydran Fulcio (SigStore WebPKI) yn cynnwys system ar gyfer creu awdurdodau ardystio (CAs gwraidd) sy'n cyhoeddi tystysgrifau byrhoedlog yn seiliedig ar e-bost a ddilyswyd trwy OpenID Connect. Hyd oes y dystysgrif yw 20 munud, ac yn ystod y cyfnod hwn mae'n rhaid i'r datblygwr gael amser i gynhyrchu llofnod digidol (os yw'r dystysgrif yn ddiweddarach yn disgyn i ddwylo ymosodwr, bydd eisoes wedi dod i ben). Yn ogystal, mae'r prosiect yn datblygu pecyn cymorth Cosign (Container Signing), a ddyluniwyd i gynhyrchu llofnodion ar gyfer cynwysyddion, gwirio llofnodion a gosod cynwysyddion wedi'u llofnodi mewn storfeydd sy'n gydnaws ag OCI (Open Container Initiative).
Mae gweithredu Sigstore yn ei gwneud hi'n bosibl cynyddu diogelwch sianeli dosbarthu rhaglenni a diogelu rhag ymosodiadau sydd wedi'u hanelu at ddisodli llyfrgelloedd a dibyniaethau (cadwyn gyflenwi). Un o'r problemau diogelwch allweddol mewn meddalwedd ffynhonnell agored yw'r anhawster o wirio ffynhonnell y rhaglen a gwirio'r broses adeiladu. Er enghraifft, mae'r rhan fwyaf o brosiectau'n defnyddio hashes i wirio cywirdeb datganiad, ond yn aml mae'r wybodaeth sydd ei hangen ar gyfer dilysu yn cael ei storio ar systemau heb eu diogelu ac mewn storfeydd cod a rennir, a all, os cyfaddawdir, ganiatáu i ymosodwyr ddisodli'r ffeiliau sydd eu hangen ar gyfer dilysu a chyflwyno newidiadau maleisus heb godi amheuaeth.
Nid yw'r defnydd o lofnodion digidol ar gyfer dilysu rhyddhau wedi dod yn gyffredin eto oherwydd anawsterau wrth reoli allweddi, dosbarthu allweddi cyhoeddus, a dirymu allweddi dan fygythiad. Er mwyn i ddilysu wneud synnwyr, mae hefyd yn angenrheidiol i drefnu proses ddibynadwy a diogel ar gyfer dosbarthu allweddi cyhoeddus a sieciau. Hyd yn oed gyda llofnod digidol, mae llawer o ddefnyddwyr yn anwybyddu dilysu oherwydd mae angen iddynt dreulio amser yn dysgu'r broses ddilysu a deall pa allwedd sy'n ddibynadwy. Mae prosiect Sigstore yn ceisio symleiddio ac awtomeiddio'r prosesau hyn trwy ddarparu datrysiad parod a phrofedig.
Ffynhonnell: opennet.ru
