Red Hat ak Google, ansanm ak Purdue University, te fonde pwojè Sigstore a, ki vize a kreye zouti ak sèvis pou verifye lojisyèl lè l sèvi avèk siyati dijital ak kenbe yon jounal piblik pou konfime otantisite (log transparans). Pwojè a pral devlope anba ejid òganizasyon ki pa pou pwofi Linux Foundation.
Pwojè yo pwopoze a pral amelyore sekirite chanèl distribisyon lojisyèl ak pwoteje kont atak ki vize pou ranplase konpozan lojisyèl ak depandans (chèn ekipman pou). Youn nan pwoblèm sekirite kle yo nan lojisyèl sous louvri se difikilte pou verifye sous pwogram nan ak verifye pwosesis konstriksyon an. Pou egzanp, pifò pwojè yo itilize hashes pou verifye entegrite yon lage, men souvan enfòmasyon ki nesesè pou otantifikasyon yo estoke sou sistèm san pwoteksyon ak nan depo kòd pataje, kòm yon rezilta atakè yo ka konpwomèt dosye ki nesesè pou verifikasyon epi prezante chanjman move. san yo pa leve sispèk.
Sèlman yon ti pwopòsyon nan pwojè itilize siyati dijital lè distribye degaje akòz difikilte yo nan jere kle, distribye kle piblik, ak anile kle konpwomèt. Pou verifikasyon gen sans, li nesesè tou pou òganize yon pwosesis serye ak an sekirite pou distribye kle piblik ak chèk. Menm ak yon siyati dijital, anpil itilizatè inyore verifikasyon paske yo bezwen pase tan etidye pwosesis verifikasyon an epi konprann ki kle ki fè konfyans.
Sigstore fè konnen kòm ekivalan Let's Encrypt pou kòd, bay sètifika pou siyen dijital kòd ak zouti pou otomatize verifikasyon. Avèk Sigstore, devlopè yo ka siyen dijitalman zafè ki gen rapò ak aplikasyon tankou fichye lage, imaj veso, manifest, ak ègzèkutabl. Yon karakteristik espesyal nan Sigstore se ke materyèl yo itilize pou siyen an reflete nan yon jounal piblik ki enpèmeyab ki ka itilize pou verifikasyon ak odit.
Olye pou kle pèmanan, Sigstore sèvi ak kle efemèr ki dire kout, ki pwodui ki baze sou kalifikasyon yo konfime pa founisè OpenID Connect (nan moman jenere kle pou yon siyati dijital, pwomotè a idantifye tèt li atravè yon founisè OpenID ki lye ak yon imèl). Otantisite kle yo verifye lè l sèvi avèk yon jounal santralize piblik, ki fè li posib pou verifye ke otè a nan siyati a se egzakteman ki moun li fè reklamasyon yo se ak siyati a te fòme pa menm patisipan an ki te responsab pou degaje sot pase yo.
Sigstore bay tou de yon sèvis ki pare ke ou ka deja itilize, ak yon seri zouti ki pèmèt ou deplwaye sèvis menm jan an sou pwòp ekipman ou. Sèvis la gratis pou tout devlopè ak founisè lojisyèl, epi li deplwaye sou yon platfòm net - Linux Foundation. Tout eleman nan sèvis la se sous louvri, ekri nan Go ak distribye anba lisans Apache 2.0.
Pami eleman yo devlope nou ka remake:
- Rekor se yon aplikasyon boutèy demi lit pou estoke metadata ki siyen nimerik ki reflete enfòmasyon sou pwojè yo. Pou asire entegrite ak pwoteje kont koripsyon done apre reyalite a, yo itilize yon estrikti ki sanble ak pye bwa "Merkle Tree", kote chak branch verifye tout branch ak nœuds ki kache yo, gras a hachaj jwenti (tankou pye bwa). Lè w gen hash final la, itilizatè a ka verifye kòrèkteman nan istwa a tout operasyon yo, osi byen ke kòrèkteman nan eta sot pase yo nan baz done a (se hash verifikasyon rasin nan nouvo eta a nan baz done a kalkile pran an kont eta ki sot pase a. ). Pou verifye epi ajoute nouvo dosye, yo bay yon API Restful, ansanm ak yon koòdone cli.
- Fulcio (SigStore WebPKI) se yon sistèm pou kreye otorite sètifikasyon (Root-CAs) ki bay sètifika ki dire kout ki baze sou imèl otantifye atravè OpenID Connect. Tout lavi sètifika a se 20 minit, pandan ki pwomotè a dwe gen tan pou jenere yon siyati dijital (si sètifika a pita tonbe nan men yon atakè, li pral deja ekspire).
- Сosign (Siyen veso) se yon bwat zouti pou jenere siyati pou resipyan, verifye siyati yo epi mete resipyan ki siyen yo nan depo ki konpatib ak OCI (Open Container Initiative).
Sous: opennet.ru