Sefydlodd Red Hat a Google, ynghyd Γ’ Phrifysgol Purdue, brosiect Sigstore, gyda'r nod o greu offer a gwasanaethau ar gyfer gwirio meddalwedd gan ddefnyddio llofnodion digidol a chynnal log cyhoeddus i gadarnhau dilysrwydd (log tryloywder). Bydd y prosiect yn cael ei ddatblygu dan nawdd y sefydliad di-elw Linux Foundation.
Bydd y prosiect arfaethedig yn gwella diogelwch sianeli dosbarthu meddalwedd ac yn amddiffyn rhag ymosodiadau sydd wedi'u hanelu at ddisodli cydrannau meddalwedd a dibyniaethau (cadwyn gyflenwi). Un o'r problemau diogelwch allweddol mewn meddalwedd ffynhonnell agored yw'r anhawster o wirio ffynhonnell y rhaglen a gwirio'r broses adeiladu. Er enghraifft, mae'r rhan fwyaf o brosiectau'n defnyddio hashes i wirio cywirdeb datganiad, ond yn aml mae'r wybodaeth sy'n angenrheidiol ar gyfer dilysu yn cael ei storio ar systemau heb eu diogelu ac mewn storfeydd cod a rennir, ac o ganlyniad gall ymosodwyr beryglu'r ffeiliau sy'n angenrheidiol ar gyfer dilysu a chyflwyno newidiadau maleisus heb godi amheuaeth.
Dim ond cyfran fach o brosiectau sy'n defnyddio llofnodion digidol wrth ddosbarthu datganiadau oherwydd yr anawsterau wrth reoli allweddi, dosbarthu allweddi cyhoeddus, a dirymu allweddi dan fygythiad. Er mwyn i ddilysu wneud synnwyr, mae hefyd angen trefnu proses ddibynadwy a diogel ar gyfer dosbarthu allweddi cyhoeddus a sieciau. Hyd yn oed gyda llofnod digidol, mae llawer o ddefnyddwyr yn anwybyddu dilysu oherwydd mae angen iddynt dreulio amser yn astudio'r broses ddilysu a deall pa allwedd sy'n ddibynadwy.
Mae Sigstore yn cael ei gyfeirio at yr hyn sy'n cyfateb i Let's Encrypt ar gyfer cod, gan ddarparu tystysgrifau ar gyfer llofnodi cod yn ddigidol ac offer ar gyfer dilysu awtomeiddio. Gyda Sigstore, gall datblygwyr lofnodi arteffactau sy'n gysylltiedig Γ’ chymwysiadau yn ddigidol fel ffeiliau rhyddhau, delweddau cynhwysydd, maniffestau, a nwyddau gweithredadwy. Nodwedd arbennig o Sigstore yw bod y deunydd a ddefnyddir ar gyfer llofnodi yn cael ei adlewyrchu mewn log cyhoeddus atal ymyrraeth y gellir ei ddefnyddio ar gyfer dilysu ac archwilio.
Yn lle allweddi parhaol, mae Sigstore yn defnyddio allweddi byrhoedlog, sy'n cael eu cynhyrchu ar sail tystlythyrau a gadarnhawyd gan ddarparwyr OpenID Connect (ar adeg cynhyrchu allweddi ar gyfer llofnod digidol, mae'r datblygwr yn adnabod ei hun trwy ddarparwr OpenID sy'n gysylltiedig ag e-bost). Mae dilysrwydd yr allweddi yn cael ei wirio gan ddefnyddio log canolog cyhoeddus, sy'n ei gwneud hi'n bosibl gwirio mai awdur y llofnod yn union y mae'n honni ei fod a ffurfiwyd y llofnod gan yr un cyfranogwr a oedd yn gyfrifol am ddatganiadau blaenorol.
Mae Sigstore yn darparu gwasanaeth parod y gallwch ei ddefnyddio eisoes, a set o offer sy'n eich galluogi i ddefnyddio gwasanaethau tebyg ar eich offer eich hun. Mae'r gwasanaeth am ddim i bob datblygwr a darparwr meddalwedd, ac fe'i defnyddir ar lwyfan niwtral - y Linux Foundation. Mae holl gydrannau'r gwasanaeth yn ffynhonnell agored, wedi'u hysgrifennu yn Go a'u dosbarthu o dan drwydded Apache 2.0.
Ymhlith y cydrannau datblygedig gallwn nodi:
- Mae Rekor yn weithred log ar gyfer storio metadata wedi'i lofnodi'n ddigidol sy'n adlewyrchu gwybodaeth am brosiectau. Er mwyn sicrhau cywirdeb ac amddiffyn rhag llygredd data ar Γ΄l y ffaith, defnyddir strwythur tebyg i goeden βMerkle Treeβ, lle mae pob cangen yn gwirio'r holl ganghennau a nodau gwaelodol, diolch i stwnsh ar y cyd (tebyg i goeden). Gyda'r stwnsh terfynol, gall y defnyddiwr wirio cywirdeb hanes cyfan y gweithrediadau, yn ogystal Γ’ chywirdeb cyflwr y gronfa ddata yn y gorffennol (mae stwnsh gwirio gwraidd cyflwr newydd y gronfa ddata yn cael ei gyfrifo gan ystyried cyflwr y gorffennol ). I wirio ac ychwanegu cofnodion newydd, darperir API Restful, yn ogystal Γ’ rhyngwyneb cli.
- Mae Fulcio (SigStore WebPKI) yn system ar gyfer creu awdurdodau ardystio (Root-CAs) sy'n cyhoeddi tystysgrifau byrhoedlog yn seiliedig ar e-bost a ddilyswyd trwy OpenID Connect. Hyd oes y dystysgrif yw 20 munud, ac yn ystod y cyfnod hwn mae'n rhaid i'r datblygwr gael amser i gynhyrchu llofnod digidol (os yw'r dystysgrif yn ddiweddarach yn disgyn i ddwylo ymosodwr, bydd eisoes wedi dod i ben).
- Mae Π‘osign (Llofnodi Cynhwysydd) yn becyn cymorth ar gyfer cynhyrchu llofnodion ar gyfer cynwysyddion, gwirio llofnodion a gosod cynwysyddion wedi'u llofnodi mewn storfeydd sy'n gydnaws ag OCI (Open Container Initiative).
Ffynhonnell: opennet.ru