Red Hat en Google, tegearre mei Purdue University, stiften it Sigstore-projekt, rjochte op it meitsjen fan ark en tsjinsten foar it ferifiearjen fan software mei digitale hantekeningen en it behâld fan in iepenbier log om autentisiteit te befêstigjen (transparânsjelog). It projekt wurdt ûntwikkele ûnder auspysjes fan de non-profit organisaasje Linux Foundation.
It foarstelde projekt sil de feiligens fan softwaredistribúsjekanalen ferbetterje en beskermje tsjin oanfallen dy't rjochte binne op it ferfangen fan softwarekomponinten en ôfhinklikens (supply chain). Ien fan 'e wichtichste feiligensproblemen yn iepen boarne software is de muoite om de boarne fan it programma te ferifiearjen en it bouproses te ferifiearjen. Bygelyks, de measte projekten brûke hashes om de yntegriteit fan in release te ferifiearjen, mar faaks wurdt de ynformaasje dy't nedich is foar autentikaasje opslein op net beskerme systemen en yn dielde koade-repositories, wêrtroch oanfallers de bestannen dy't nedich binne foar ferifikaasje kinne kompromittearje en kweade feroarings ynfiere sûnder fertinking te wekken.
Allinich in lyts part fan projekten brûkt digitale hantekeningen by it fersprieden fan releases fanwegen de swierrichheden by it behearen fan kaaien, it fersprieden fan iepenbiere kaaien en it ynlûken fan kompromittearre kaaien. Om ferifikaasje sin te meitsjen, is it ek nedich om in betrouber en feilich proses te organisearjen foar it fersprieden fan iepenbiere kaaien en kontrôlesummen. Sels mei in digitale hantekening negearje in protte brûkers ferifikaasje, om't se tiid moatte besteegje oan it bestudearjen fan it ferifikaasjeproses en begripe hokker kaai betrouber is.
Sigstore wurdt oankundige as it ekwivalint fan Let's Encrypt for koade, it leverjen fan sertifikaten foar digitaal ûndertekenjen fan koade en ark foar it automatisearjen fan ferifikaasje. Mei Sigstore kinne ûntwikkelders applikaasje-relatearre artefakten digitaal ûndertekenje, lykas frijlittingsbestannen, kontenerôfbyldings, manifesten en útfierbere bestannen. In bysûndere skaaimerk fan Sigstore is dat it materiaal dat brûkt wurdt foar ûndertekening wurdt wjerspegele yn in tamper-proof iepenbier log dat kin wurde brûkt foar ferifikaasje en auditing.
Yn stee fan permaninte kaaien, Sigstore brûkt koarte-libben ephemeral kaaien, dy't wurde oanmakke basearre op bewiisbrieven befêstige troch OpenID Connect providers (op it momint fan it generearjen fan kaaien foar in digitale hantekening, de ûntwikkelder identifisearret himsels troch in OpenID provider keppele oan in e-mail). De autentisiteit fan 'e kaaien wurdt ferifiearre mei help fan in iepenbier sintralisearre log, dat makket it mooglik om te kontrolearjen dat de skriuwer fan' e hântekening is krekt wa't er beweart te wêzen en de hantekening waard foarme troch deselde dielnimmer dy't wie ferantwurdlik foar ferline releases.
Sigstore leveret sawol in klearmakke tsjinst dy't jo al brûke kinne, en in set ark wêrmei jo ferlykbere tsjinsten kinne ynsette op jo eigen apparatuer. De tsjinst is fergees foar alle ûntwikkelders en softwareproviders, en wurdt ynset op in neutraal platfoarm - de Linux Foundation. Alle komponinten fan 'e tsjinst binne iepen boarne, skreaun yn Go en ferspraat ûnder de Apache 2.0-lisinsje.
Under de ûntwikkele komponinten kinne wy opmerke:
- Rekor is in log-ymplemintaasje foar it bewarjen fan digitaal ûndertekene metadata dy't ynformaasje oer projekten reflektearje. Om de yntegriteit te garandearjen en te beskermjen tsjin gegevenskorrupsje nei it feit, wurdt in beam-like struktuer "Merkle Tree" brûkt, wêryn elke tûke alle ûnderlizzende tûken en knopen ferifiearret, tank oan mienskiplike (beam-like) hashing. Mei de lêste hash kin de brûker de krektens fan 'e hiele skiednis fan operaasjes ferifiearje, lykas de krektens fan' e eardere steaten fan 'e databank (de root-ferifikaasje-hash fan' e nije tastân fan 'e databank wurdt berekkene mei rekkening mei de ferline tastân ). Om nije records te ferifiearjen en ta te foegjen, wurdt in Restful API levere, lykas ek in cli-ynterface.
- Fulcio (SigStore WebPKI) is in systeem foar it meitsjen fan sertifisearingsautoriteiten (Root-CA's) dy't koarte libbene sertifikaten útjaan basearre op e-post ferifiearre fia OpenID Connect. De libbensdoer fan it sertifikaat is 20 minuten, wêryn't de ûntwikkelder tiid moat hawwe om in digitale hantekening te generearjen (as it sertifikaat letter yn 'e hannen fan in oanfaller falt, sil it al ferrûn wêze).
- Сosign (Container Signing) is in toolkit foar it generearjen fan hantekeningen foar konteners, it ferifiearjen fan hantekeningen en it pleatsen fan ûndertekene konteners yn repositories kompatibel mei OCI (Open Container Initiative).
Boarne: opennet.ru