Google ilmoitti muodostavansa ensimmäiset vakaat julkaisut Sigstore-projektin muodostavista komponenteista, jotka on julistettu sopiviksi toimivien toteutusten luomiseen. Sigstore kehittää työkaluja ja palveluita ohjelmistojen varmentamiseen käyttämällä digitaalisia allekirjoituksia ja ylläpitämään julkista lokia, joka vahvistaa muutosten aitouden (avoimuusloki). Projektia kehittävät voittoa tavoittelemattoman Linux Foundation -järjestön alaisuudessa Google, Red Hat, Cisco, vmWare, GitHub ja HP Enterprise, ja siihen osallistuvat OpenSSF (Open Source Security Foundation) ja Purdue University.
Sigstorea voidaan pitää Let's Encrypt koodina, joka tarjoaa varmenteita digitaalisesti allekirjoittavalle koodille ja työkaluja vahvistuksen automatisointiin. Sigstoren avulla kehittäjät voivat allekirjoittaa digitaalisesti sovelluksiin liittyviä artefakteja, kuten julkaisutiedostoja, säilökuvia, luetteloita ja suoritettavia tiedostoja. Allekirjoitukseen käytetty materiaali näkyy luvattomassa julkisessa lokissa, jota voidaan käyttää varmentamiseen ja auditointiin.
Pysyvien avainten sijasta Sigstore käyttää lyhytaikaisia lyhytaikaisia avaimia, jotka luodaan OpenID Connect -palveluntarjoajien vahvistamien tunnistetietojen perusteella (digitaalisen allekirjoituksen luomiseen tarvittavien avainten luomisen yhteydessä kehittäjä tunnistaa itsensä OpenID-palveluntarjoajan kautta sähköpostisidolla ). Avainten aitous varmistetaan julkisella keskitetyllä lokilla, jonka avulla voit varmistaa, että allekirjoituksen kirjoittaja on juuri se, joka hän väittää olevansa ja allekirjoituksen on tehnyt sama osallistuja, joka vastasi aiemmista julkaisuista.
Sigstoren toteutusvalmius johtuu kahden avainkomponentin - Rekor 1.0:n ja Fulcio 1.0:n - julkaisujen muodostumisesta, joiden ohjelmointirajapinnat on julistettu vakaiksi ja säilyttävät tästä eteenpäin yhteensopivuuden. Palvelukomponentit on kirjoitettu Go-kielellä ja niitä jaetaan Apache 2.0 -lisenssillä.
Rekor-komponentti sisältää loki-toteutuksen digitaalisesti allekirjoitetun metatietojen tallentamiseksi, joka kuvastaa tietoa projekteista. Eheyden ja tietojen suojaamisen varmistamiseksi käytetään Merkle Tree -puurakennetta, jossa jokainen haara varmistaa kaikki taustalla olevat oksat ja solmut yhteisen (puu) hajautusjärjestelmän avulla. Viimeisen tiivisteen avulla käyttäjä voi tarkistaa koko toimintahistorian oikeellisuuden sekä tietokannan aiempien tilojen oikeellisuuden (tietokannan uuden tilan juurivarmennushajautus lasketaan ottaen huomioon aiemman tilan ). RESTful API on käytettävissä uusien tietueiden tarkistamista ja lisäämistä varten sekä komentorivikäyttöliittymä.
Fulcio-komponentti (SigStore WebPKI) sisältää järjestelmän, jolla luodaan varmenneviranomaisia (root CA), jotka myöntävät lyhytikäisiä varmenteita OpenID Connectin kautta todennettuun sähköpostiin. Varmenteen käyttöikä on 20 minuuttia, jonka aikana kehittäjällä tulee olla aikaa luoda digitaalinen allekirjoitus (jos varmenne tulevaisuudessa joutuu hyökkääjän käsiin, se on jo vanhentunut). Lisäksi projektissa kehitetään Cosign (Container Signing) -työkalupakkia, joka on suunniteltu luomaan allekirjoituksia säilöille, tarkistamaan allekirjoituksia ja sijoittamaan allekirjoitettuja säiliöitä OCI:n (Open Container Initiative) kanssa yhteensopiviin arkistoihin.
Sigstoren käyttöönotto mahdollistaa ohjelmistojen jakelukanavien turvallisuuden lisäämisen ja suojautumisen kirjastoja ja riippuvuuksia (toimitusketju) korvaavia hyökkäyksiä vastaan. Yksi avoimen lähdekoodin ohjelmistojen tärkeimmistä tietoturvaongelmista on ohjelman lähteen ja koontiprosessin tarkistamisen vaikeus. Esimerkiksi useimmat projektit käyttävät tiivistettä julkaisun eheyden tarkistamiseen, mutta usein todentamiseen tarvittavat tiedot tallennetaan suojaamattomiin järjestelmiin ja jaettuihin arkistoihin koodilla, minkä seurauksena hyökkääjät voivat vaarantuessaan korvata tarvittavat tiedostot. varmentaa ja tehdä haitallisia muutoksia herättämättä epäilyksiä.
Digitaalisten allekirjoitusten käyttö julkaisun varmentamiseen ei ole vielä yleistynyt avainten hallinnassa, julkisten avainten jakelussa ja vaarantuneiden avainten peruuttamisessa. Jotta todentaminen olisi järkevää, on lisäksi järjestettävä luotettava ja turvallinen prosessi julkisten avainten ja tarkistussummien jakamiseen. Jopa digitaalisella allekirjoituksella monet käyttäjät jättävät vahvistuksen huomioimatta, koska vahvistusprosessin oppiminen ja luotettavan avaimen ymmärtäminen vie aikaa. Sigstore-projekti pyrkii yksinkertaistamaan ja automatisoimaan näitä prosesseja tarjoamalla valmiin ja hyväksi todetun ratkaisun.
Lähde: opennet.ru