Red Hat-ek eta Google-k, Purdue Unibertsitatearekin batera, Sigstore proiektua sortu zuten, sinadura digitalak erabiliz softwarea egiaztatzeko tresnak eta zerbitzuak sortzea eta benetakotasuna berresteko erregistro publikoa mantentzea (gardentasun erregistroa). Proiektua Linux Foundation irabazi asmorik gabeko erakundearen babespean garatuko da.
Proposatutako proiektuak softwarea banatzeko kanalen segurtasuna hobetuko du eta softwarearen osagaiak eta mendekotasunak (hornikuntza-katea) ordezkatzea helburu duten erasoetatik babestuko du. Kode irekiko softwarearen segurtasun arazo nagusietako bat programaren iturria egiaztatzeko eta eraikitze-prozesua egiaztatzeko zailtasuna da. Adibidez, proiektu gehienek hash-ak erabiltzen dituzte bertsio baten osotasuna egiaztatzeko, baina askotan autentifikaziorako beharrezkoa den informazioa babesik gabeko sistemetan eta kode partekatuen biltegietan gordetzen da, eta, ondorioz, erasotzaileek egiaztatzeko beharrezkoak diren fitxategiak arriskuan jar ditzakete eta aldaketa gaiztoak sartu ditzakete. susmorik sortu gabe.
Proiektuen proportzio txiki batek bakarrik erabiltzen du sinadura digitala bertsioak banatzerakoan, gakoak kudeatzeko, gako publikoak banatzeko eta arriskuan dauden gakoak baliogabetzeko zailtasunak direla eta. Egiaztapenak zentzua izan dezan, gako publikoak eta checksums banatzeko prozesu fidagarri eta seguru bat antolatzea ere beharrezkoa da. Sinadura digitala izanda ere, erabiltzaile askok egiaztapena alde batera uzten dute, egiaztapen-prozesua aztertzen eta zein gako den fidagarria ulertzen denbora eman behar dutelako.
Sigstore Let's Encrypt kodearen baliokidetzat jotzen da, eta kodea digitalki sinatzeko ziurtagiriak eta egiaztapena automatizatzeko tresnak eskaintzen ditu. Sigstore-rekin, garatzaileek aplikazioekin erlazionatutako artefaktuak digitalki sinatu ditzakete, hala nola kaleratze-fitxategiak, edukiontzien irudiak, manifestuak eta exekutagarriak. Sigstore-ren ezaugarri berezi bat da sinatzeko erabilitako materiala egiaztapen eta auditoria egiteko erabil daitekeen manipulazio-erregistro publiko batean islatzen dela.
Gako iraunkorren ordez, Sigstore-k iraupen laburreko gako iragankorrak erabiltzen ditu, OpenID Connect hornitzaileek berretsitako kredentzialetan oinarrituta sortzen direnak (sinadura digital baterako gakoak sortzeko unean, garatzaileak bere burua identifikatzen du mezu elektroniko bati lotuta dagoen OpenID hornitzaile baten bidez). Gakoen benetakotasuna erregistro publiko zentralizatu baten bidez egiaztatzen da, eta horrek sinaduraren egilea bera dela dioena dela egiaztatzea ahalbidetzen du eta sinadura iraganeko kaleratzeen arduraduna izan zen parte-hartzaile berberak osatu zuen.
Sigstore-k dagoeneko erabil dezakezun prest egindako zerbitzu bat eta zure ekipoetan antzeko zerbitzuak zabaltzeko aukera ematen dizuten tresna multzo bat eskaintzen du. Zerbitzua doakoa da garatzaile eta software hornitzaile guztientzat, eta plataforma neutral batean zabaltzen da: Linux Fundazioa. Zerbitzuaren osagai guztiak kode irekikoak dira, Go-n idatziak eta Apache 2.0 lizentziapean banatuta.
Garatutako osagaien artean honako hauek nabarmen daitezke:
- Rekor proiektuei buruzko informazioa islatzen duten digitalki sinatutako metadatuak gordetzeko erregistro-inplementazioa da. Osotasuna bermatzeko eta datuen ustelkeriaren aurka babesteko, "Merkle Tree" zuhaitz-itxurako egitura erabiltzen da, zeinetan adar bakoitzak azpiko adar eta nodo guztiak egiaztatzen dituen, elkarrekin (zuhaitz-itxurako) hashing-ari esker. Azken hash-a izanda, erabiltzaileak eragiketen historia osoaren zuzentasuna egiazta dezake, baita datu-basearen iraganeko egoeren zuzentasuna ere (datu-basearen egoera berriaren erro egiaztatzeko hash-a iraganeko egoera kontuan hartuta kalkulatzen da. ). Erregistro berriak egiaztatzeko eta gehitzeko, Restful API bat eskaintzen da, baita cli interfaze bat ere.
- Fulcio (SigStore WebPKI) ziurtagiri-agintaritzak (Root-CAs) sortzeko sistema bat da, iraupen laburreko ziurtagiriak igortzen dituena, OpenID Connect bidez autentifikatutako posta elektronikoan oinarrituta. Ziurtagiriaren iraupena 20 minutukoa da, eta horietan garatzaileak denbora izan behar du sinadura digitala sortzeko (gero ziurtagiria erasotzaile baten esku geratzen bada, dagoeneko iraungiko da).
- Π‘osign (Container Signing) edukiontzientzako sinadurak sortzeko, sinadurak egiaztatzeko eta sinatutako edukiontziak OCI (Open Container Initiative)rekin bateragarriak diren biltegietan jartzeko tresna bat da.
Iturria: opennet.ru