Google teatas Sigstore'i projekti moodustavate komponentide esimeste stabiilsete väljalasete moodustamisest, mis on tunnistatud sobivaks töötavate rakenduste loomiseks. Sigstore arendab tööriistu ja teenuseid tarkvara verifitseerimiseks digitaalallkirjade abil ja muudatuste autentsust kinnitava avaliku logi (läbipaistvuslogi) pidamiseks. Projekti arendavad mittetulundusühingu Linux Foundation egiidi all Google, Red Hat, Cisco, vmWare, GitHub ja HP Enterprise OpenSSF (Open Source Security Foundation) organisatsiooni ja Purdue ülikooli osalusel.
Sigstore'i võib pidada koodi krüptimiseks, mis pakub sertifikaate koodi digitaalseks allkirjastamiseks ja tööriistu kontrollimise automatiseerimiseks. Sigstore'iga saavad arendajad digitaalselt allkirjastada rakendustega seotud artefakte, nagu väljalaskefailid, konteineri kujutised, manifestid ja käivitatavad failid. Allkirjamaterjal kajastub võltsimiskindlas avalikus logis, mida saab kasutada kontrollimiseks ja auditeerimiseks.
Püsivõtmete asemel kasutab Sigstore lühiajalisi lühiajalisi võtmeid, mis genereeritakse OpenID Connecti pakkujate kinnitatud mandaatide põhjal (digitaalse allkirja loomiseks vajalike võtmete genereerimise ajal tuvastab arendaja end OpenID pakkuja kaudu, mis on lingitud email). Võtmete autentsust kontrollitakse avaliku tsentraliseeritud logi abil, mis võimaldab veenduda, et allkirja autor on täpselt see, kes ta väidab end olevat ning allkirja genereeris sama osaleja, kes vastutas varasemate väljaannete eest.
Sigstore’i valmidus juurutamiseks on tingitud kahe võtmekomponendi – Rekor 1.0 ja Fulcio 1.0 – väljalasete moodustumisest, mille tarkvaraliidesed on kuulutatud stabiilseks ja on ka edaspidi tagasiühilduvad. Teenuse komponendid on kirjutatud Go-s ja neid levitatakse Apache 2.0 litsentsi alusel.
Rekori komponent sisaldab logirakendust projektide kohta käivat teavet kajastavate digiallkirjastatud metaandmete salvestamiseks. Terviklikkuse tagamiseks ja andmete tagantjärele kahjustamise eest kaitsmiseks kasutatakse Merkle Tree puustruktuuri, milles iga haru kontrollib ühise (puu) räsimise kaudu kõiki aluseks olevaid harusid ja sõlme. Lõpliku räsi olemasolul saab kasutaja kontrollida nii kogu toimingute ajaloo õigsust kui ka andmebaasi varasemate olekute õigsust (andmebaasi uue oleku juurkontrolli räsi arvutamisel võetakse arvesse varasemat olekut ). Kontrollimiseks ja uute kirjete lisamiseks on saadaval RESTful API, samuti käsurea liides.
Fulcio komponent (SigStore WebPKI) sisaldab süsteemi sertifitseerimisasutuste (juur-CA-de) loomiseks, mis väljastavad lühiajalisi sertifikaate, mis põhinevad OpenID Connecti kaudu autentitud meilidel. Sertifikaadi eluiga on 20 minutit, mille jooksul peab arendajal olema aega digiallkirja genereerimiseks (kui sertifikaat hiljem ründaja kätte satub, on see juba aegunud). Lisaks arendatakse projektiga Cosigni (konteinerite allkirjastamise) tööriistakomplekti, mis on loodud konteinerite jaoks allkirjade genereerimiseks, allkirjade kontrollimiseks ja allkirjastatud konteinerite paigutamiseks hoidlatesse, mis ühilduvad OCI-ga (Open Container Initiative).
Sigstore'i juurutamine võimaldab tõsta programmide levikanalite turvalisust ja kaitsta rünnete eest, mis on suunatud raamatukogude ja sõltuvuste (tarneahela) asendamisele. Üks peamisi turbeprobleeme avatud lähtekoodiga tarkvaras on raskused programmi allika kontrollimisel ja koostamisprotsessi kontrollimisel. Näiteks kasutatakse enamikes projektides väljalaske terviklikkuse kontrollimiseks räsi, kuid sageli hoitakse autentimiseks vajalikku teavet kaitsmata süsteemides ja jagatud koodihoidlates, mille tulemusena võivad ründajad ohustada kontrollimiseks vajalikke faile ja teha pahatahtlikke muudatusi. kahtlust tekitamata.
Digitaalallkirjade kasutamine väljalaske kontrollimiseks ei ole võtmete haldamise, avalike võtmete levitamise ja rikutud võtmete tühistamise raskuste tõttu veel laialt levinud. Selleks, et kontrollimine oleks mõttekas, on lisaks vaja korraldada usaldusväärne ja turvaline avalike võtmete ja kontrollsummade levitamise protsess. Isegi digitaalallkirja puhul ignoreerivad paljud kasutajad kinnitamist, kuna peavad kulutama aega kinnitamisprotsessi õppimisele ja mõistma, milline võti on usaldusväärne. Sigstore'i projekt püüab neid protsesse lihtsustada ja automatiseerida, pakkudes valmis ja tõestatud lahendust.
Allikas: opennet.ru