گوگل اولین نسخههای پایدار اجزای تشکیلدهنده پروژه Sigstore را اعلام کرد که برای استقرار در مرحله تولید آماده اعلام شده است. Sigstore ابزارها و خدماتی را برای تأیید نرمافزار با استفاده از امضاهای دیجیتال و نگهداری یک گزارش عمومی که صحت تغییرات را تأیید میکند (گزارش شفافیت) توسعه میدهد. این پروژه تحت نظارت یک سازمان غیرانتفاعی در حال توسعه است. Linux Foundation компаниями Google, Red Hat, Cisco, vmWare, GitHub и HP Enterprise при участии организации OpenSSF (Open Source Security Foundation) и университета Пердью.
Sigstore را می توان به عنوان Let's Encrypt برای کد در نظر گرفت که گواهی هایی برای امضای دیجیتالی کد و ابزارهایی برای تأیید خودکار ارائه می دهد. با Sigstore، توسعه دهندگان می توانند مصنوعات مرتبط با برنامه مانند فایل های انتشار، تصاویر کانتینر، مانیفست ها و فایل های اجرایی را به صورت دیجیتالی امضا کنند. مواد امضا در یک گزارش عمومی ضد دستکاری منعکس می شود که می تواند برای تأیید و ممیزی استفاده شود.
به جای کلیدهای دائمی، Sigstore از کلیدهای زودگذر کوتاه مدت استفاده می کند، که بر اساس اعتبار تایید شده توسط ارائه دهندگان OpenID Connect تولید می شوند (در زمان تولید کلیدهای لازم برای ایجاد یک امضای دیجیتال، توسعه دهنده خود را از طریق ارائه دهنده OpenID مرتبط با یک شناسه شناسایی می کند. پست الکترونیک). صحت کلیدها با استفاده از یک گزارش متمرکز عمومی تأیید می شود، که این امکان را فراهم می کند تا تأیید شود که نویسنده امضا دقیقاً همان کسی است که ادعا می کند است و امضا توسط همان شرکت کننده تولید شده است که مسئول انتشارات گذشته بوده است.
آمادگی Sigstore برای پیاده سازی به دلیل تشکیل دو مؤلفه کلیدی - Rekor 1.0 و Fulcio 1.0 است که رابط های نرم افزاری آنها پایدار اعلام شده و همچنان سازگار با عقب خواهد بود. اجزای سرویس در Go نوشته شده و تحت مجوز Apache 2.0 توزیع می شوند.
مؤلفه Rekor شامل یک پیادهسازی گزارش برای ذخیره ابرداده امضا شده دیجیتالی است که اطلاعات پروژهها را منعکس میکند. برای اطمینان از یکپارچگی و محافظت در برابر خرابی داده ها پس از این واقعیت، از ساختار درختی Merkle Tree استفاده می شود که در آن هر شاخه تمام شاخه ها و گره های زیرین را از طریق هش کردن مشترک (درخت) تأیید می کند. با داشتن هش نهایی، کاربر می تواند صحت کل تاریخچه عملیات و همچنین صحت وضعیت های گذشته پایگاه داده را تأیید کند (هش تأیید ریشه وضعیت جدید پایگاه داده با در نظر گرفتن وضعیت گذشته محاسبه می شود. ). یک API RESTful برای تأیید و اضافه کردن رکوردهای جدید و همچنین یک رابط خط فرمان ارائه شده است.
مؤلفه Fulcio (SigStore WebPKI) شامل سیستمی برای ایجاد مقامات صدور گواهینامه (CAs ریشه) است که گواهی های کوتاه مدت را بر اساس ایمیل تأیید شده از طریق OpenID Connect صادر می کند. طول عمر گواهی 20 دقیقه است، که در طی آن توسعه دهنده باید زمان داشته باشد تا یک امضای دیجیتال تولید کند (اگر گواهی بعداً به دست مهاجم بیفتد، منقضی شده است). علاوه بر این، این پروژه در حال توسعه جعبه ابزار Cosign (امضای کانتینر) است که برای تولید امضا برای کانتینرها، تأیید امضاها و قرار دادن ظروف امضا شده در مخازن سازگار با OCI (ابتکار کانتینر باز) طراحی شده است.
اجرای Sigstore امکان افزایش امنیت کانال های توزیع برنامه و محافظت در برابر حملات با هدف جایگزینی کتابخانه ها و وابستگی ها (زنجیره تامین) را فراهم می کند. یکی از مشکلات امنیتی کلیدی در نرم افزارهای متن باز، دشواری تایید منبع برنامه و تایید فرآیند ساخت است. به عنوان مثال، اکثر پروژهها از هشها برای تأیید یکپارچگی نسخه استفاده میکنند، اما اغلب اطلاعات لازم برای احراز هویت در سیستمهای محافظتنشده و در مخازن کد مشترک ذخیره میشود، در نتیجه مهاجمان میتوانند فایلهای لازم برای تأیید را به خطر بیاندازند و تغییرات مخرب ایجاد کنند. بدون ایجاد شک
استفاده از امضای دیجیتال برای تأیید انتشار به دلیل مشکلات در مدیریت کلیدها، توزیع کلیدهای عمومی و باطل کردن کلیدهای در معرض خطر هنوز گسترده نشده است. برای اینکه راستیآزمایی منطقی باشد، علاوه بر این، سازماندهی یک فرآیند مطمئن و مطمئن برای توزیع کلیدهای عمومی و چکسامها ضروری است. حتی با امضای دیجیتال، بسیاری از کاربران تأیید را نادیده میگیرند، زیرا باید برای یادگیری فرآیند تأیید و درک اینکه کدام کلید قابل اعتماد است، وقت بگذارند. پروژه Sigstore با ارائه یک راه حل آماده و اثبات شده سعی در ساده سازی و خودکارسازی این فرآیندها دارد.
منبع: opennet.ru
