Google kundige de formaasje oan fan 'e earste stabile releases fan' e komponinten dy't it Sigstore-projekt foarmje, dat geskikt ferklearre wurdt foar it meitsjen fan wurkimplementaasjes. Sigstore ûntwikkelet ark en tsjinsten foar ferifikaasje fan software mei help fan digitale hantekeningen en it behâld fan in iepenbier log dat de autentisiteit fan feroaringen befêstiget (transparânsjelog). It projekt wurdt ûntwikkele ûnder auspysjes fan de non-profit organisaasje Linux Foundation troch Google, Red Hat, Cisco, vmWare, GitHub en HP Enterprise mei de dielname fan de OpenSSF (Open Source Security Foundation) organisaasje en Purdue University.
Sigstore kin beskôge wurde as in analoog fan Let's Encrypt foar koade, it leverjen fan sertifikaten foar digitaal ûndertekenjen fan koade en ark foar it automatisearjen fan ferifikaasje. Mei Sigstore kinne ûntwikkelders applikaasje-relatearre artefakten digitaal ûndertekenje lykas frijlittingsbestannen, kontenerôfbyldings, manifesten en útfierbere bestannen. It hantekeningmateriaal wurdt wjerspegele yn in tamper-proof iepenbier log dat kin wurde brûkt foar ferifikaasje en kontrôle.
Yn stee fan permaninte kaaien brûkt Sigstore koarte-libben efemere kaaien, dy't wurde generearre op basis fan bewiisbrieven befêstige troch OpenID Connect-providers (op it momint fan it generearjen fan de kaaien dy't nedich binne om in digitale hantekening te meitsjen, identifisearret de ûntwikkelder himsels troch de OpenID-provider keppele oan in e-post). De autentisiteit fan 'e kaaien wurdt ferifiearre mei help fan in iepenbier sintralisearre log, dat makket it mooglik om te kontrolearjen dat de skriuwer fan' e hântekening is krekt wa't er beweart te wêzen, en de hantekening waard oanmakke troch deselde dielnimmer dy't wie ferantwurdlik foar ferline releases.
De reewilligens fan Sigstore foar ymplemintaasje is te tankjen oan de formaasje fan releases fan twa wichtige komponinten - Rekor 1.0 en Fulcio 1.0, wêrfan de software-ynterfaces stabyl wurde ferklearre en sille fierder efterút kompatibel wêze. De tsjinstkomponinten binne skreaun yn Go en ferspraat ûnder de Apache 2.0-lisinsje.
De Rekor-komponint befettet in log-ymplemintaasje foar it bewarjen fan digitaal ûndertekene metadata dy't ynformaasje oer projekten reflektearje. Om yntegriteit te garandearjen en te beskermjen tsjin gegevenskorrupsje nei it feit, wurdt in Merkle Tree-beamstruktuer brûkt, wêryn elke tûke alle ûnderlizzende tûken en knopen ferifiearret troch mienskiplike (beam) hashing. Mei de definitive hash kin de brûker de krektens fan 'e hiele skiednis fan operaasjes ferifiearje, lykas de krektens fan' e ferline steaten fan 'e databank (de root-ferifikaasje-hash fan' e nije tastân fan 'e databank wurdt berekkene mei rekkening mei de ferline tastân ). In RESTful API wurdt levere foar ferifikaasje en tafoegjen fan nije records, lykas ek in kommandorigel-ynterface.
De Fulcio-komponint (SigStore WebPKI) omfettet in systeem foar it meitsjen fan sertifikaasjeautoriteiten (root CA's) dy't koarte libbenssertifikaten útjaan basearre op e-post ferifiearre fia OpenID Connect. De libbensdoer fan it sertifikaat is 20 minuten, wêryn't de ûntwikkelder tiid moat hawwe om in digitale hantekening te generearjen (as it sertifikaat letter yn 'e hannen fan in oanfaller falt, sil it al ferrûn wêze). Derneist ûntwikkelet it projekt de Cosign (Container Signing) toolkit, ûntworpen om hantekeningen foar konteners te generearjen, hantekeningen te ferifiearjen en ûndertekene konteners te pleatsen yn repositories kompatibel mei OCI (Open Container Initiative).
De ymplemintaasje fan Sigstore makket it mooglik om de feiligens fan programma-distribúsjekanalen te fergrutsjen en te beskermjen tsjin oanfallen dy't rjochte binne op it ferfangen fan biblioteken en ôfhinklikens (supply chain). Ien fan 'e wichtichste feiligensproblemen yn iepen boarne software is de muoite om de boarne fan it programma te ferifiearjen en it bouproses te ferifiearjen. Bygelyks, de measte projekten brûke hashes om de yntegriteit fan in release te ferifiearjen, mar faaks wurdt de ynformaasje dy't nedich is foar autentikaasje opslein op net beskerme systemen en yn dielde koade-repositories, wêrtroch oanfallers de bestannen dy't nedich binne foar ferifikaasje kinne kompromittearje en kweade feroarings ynfiere sûnder fertinking te wekken.
It gebrûk fan digitale hantekeningen foar ferifikaasje fan frijlitting is noch net wiidferspraat wurden troch swierrichheden by it behearen fan kaaien, it fersprieden fan iepenbiere kaaien en it ynlûken fan kompromittearre kaaien. Om ferifikaasje sin te meitsjen, is it ek nedich om in betrouber en feilich proses te organisearjen foar it fersprieden fan iepenbiere kaaien en kontrôlesummen. Sels mei in digitale hantekening negearje in protte brûkers ferifikaasje, om't se tiid moatte besteegje oan it learen fan it ferifikaasjeproses en begripe hokker kaai betrouber is. It Sigstore-projekt besiket dizze prosessen te ferienfâldigjen en te automatisearjen troch in klearebare en bewezen oplossing te leverjen.
Boarne: opennet.ru