Red Hat-ը և Google-ը Փրդյուի համալսարանի հետ միասին հիմնել են Sigstore նախագիծը, որի նպատակն է ստեղծել գործիքներ և ծառայություններ՝ թվային ստորագրություններով ծրագրաշարը ստուգելու և իսկությունը հաստատելու համար հանրային մատյան վարելու համար (թափանցիկության մատյան): Նախագիծը մշակվելու է Linux Foundation ոչ առևտրային կազմակերպության հովանու ներքո:
Առաջարկվող նախագիծը կբարելավի ծրագրային ապահովման բաշխման ուղիների անվտանգությունը և կպաշտպանի ծրագրային բաղադրիչները և կախվածությունները (մատակարարման շղթա) փոխարինելուն ուղղված հարձակումներից: Բաց կոդով ծրագրային ապահովման հիմնական անվտանգության խնդիրներից մեկը ծրագրի աղբյուրը ստուգելու և կառուցման գործընթացը ստուգելու դժվարությունն է: Օրինակ, նախագծերի մեծամասնությունը օգտագործում է հեշեր՝ թողարկման ամբողջականությունը ստուգելու համար, սակայն հաճախ նույնականացման համար անհրաժեշտ տեղեկատվությունը պահվում է չպաշտպանված համակարգերում և ընդհանուր կոդերի պահեստներում, ինչի արդյունքում հարձակվողները կարող են վտանգի ենթարկել ստուգման համար անհրաժեշտ ֆայլերը և ներմուծել վնասակար փոփոխություններ։ առանց կասկածներ հարուցելու.
Նախագծերի միայն փոքր մասն է օգտագործում թվային ստորագրություններ թողարկումներ բաշխելիս՝ բանալիների կառավարման, հանրային բանալիների բաշխման և վտանգված բանալիների չեղարկման դժվարությունների պատճառով: Որպեսզի ստուգումն իմաստ ունենա, անհրաժեշտ է նաև կազմակերպել հանրային բանալիների և չեկային գումարների բաշխման հուսալի և անվտանգ գործընթաց: Նույնիսկ թվային ստորագրության դեպքում շատ օգտատերեր անտեսում են ստուգումը, քանի որ նրանք պետք է ժամանակ ծախսեն ստուգման գործընթացն ուսումնասիրելու և հասկանալու, թե որ բանալին է վստահելի:
Sigstore-ը գովազդվում է որպես Let's Encrypt-ի համարժեք կոդի համար, որը տրամադրում է վկայագրեր թվային ստորագրման կոդի և գործիքներ՝ ստուգման ավտոմատացման համար: Sigstore-ի միջոցով մշակողները կարող են թվային կերպով ստորագրել հավելվածների հետ կապված արտեֆակտներ, ինչպիսիք են թողարկման ֆայլերը, կոնտեյների պատկերները, մանիֆեստները և գործարկվողները: Sigstore-ի առանձնահատուկ առանձնահատկությունն այն է, որ ստորագրման համար օգտագործվող նյութը արտացոլվում է կեղծիքից պաշտպանված հանրային մատյանում, որը կարող է օգտագործվել ստուգման և աուդիտի համար:
Մշտական բանալիների փոխարեն Sigstore-ն օգտագործում է կարճատև ժամանակավոր բանալիներ, որոնք ստեղծվում են OpenID Connect պրովայդերների կողմից հաստատված հավատարմագրերի հիման վրա (թվային ստորագրության բանալիներ ստեղծելու պահին ծրագրավորողը ինքն իրեն նույնականացնում է OpenID մատակարարի միջոցով՝ կապված էլ. փոստի հետ): Բանալիների իսկությունը ստուգվում է հանրային կենտրոնացված գրանցամատյանի միջոցով, որը հնարավորություն է տալիս ստուգել, որ ստորագրության հեղինակը հենց այն է, ով ինքն է պնդում, և ստորագրությունը ձևավորվել է նույն մասնակցի կողմից, ով պատասխանատու է անցյալ թողարկումների համար:
Sigstore-ը տրամադրում է և՛ պատրաստի ծառայություն, որը դուք արդեն կարող եք օգտագործել, և՛ գործիքների մի շարք, որոնք թույլ են տալիս նմանատիպ ծառայություններ տեղադրել ձեր սեփական սարքավորումների վրա: Ծառայությունն անվճար է բոլոր մշակողների և ծրագրային ապահովման մատակարարների համար և տեղակայված է չեզոք հարթակում՝ Linux Foundation-ում: Ծառայության բոլոր բաղադրիչները բաց կոդով են, գրված են Go-ում և տարածվում են Apache 2.0 լիցենզիայի ներքո:
Մշակված բաղադրիչներից կարելի է նշել.
- Rekor-ը տեղեկամատյանների իրականացում է՝ թվային ստորագրված մետատվյալների պահպանման համար, որոնք արտացոլում են նախագծերի մասին տեղեկատվությունը: Ապահովելու ամբողջականությունը և տվյալների կոռուպցիայից հետո պաշտպանվելու համար օգտագործվում է «Merkle Tree» ծառի նման կառուցվածքը, որում յուրաքանչյուր ճյուղ ստուգում է բոլոր հիմքում ընկած ճյուղերն ու հանգույցները՝ համատեղ (ծառի նման) հաշինգի շնորհիվ: Ունենալով վերջնական հեշ, օգտատերը կարող է ստուգել գործողությունների ողջ պատմության ճիշտությունը, ինչպես նաև տվյալների բազայի անցյալ վիճակների ճշգրտությունը (շտեմարանի նոր վիճակի արմատային ստուգման հեշը հաշվարկվում է՝ հաշվի առնելով անցյալ վիճակը ) Ստուգելու և նոր գրառումներ ավելացնելու համար տրամադրվում է Restful API, ինչպես նաև cli ինտերֆեյս:
- Fulcio-ն (SigStore WebPKI) սերտիֆիկացման մարմիններ (Root-CAs) ստեղծելու համակարգ է, որը թողարկում է կարճատև վկայագրեր՝ հիմնված OpenID Connect-ի միջոցով վավերացված էլ.փոստի վրա: Հավաստագրի գործողության ժամկետը 20 րոպե է, որի ընթացքում մշակողը պետք է ժամանակ ունենա թվային ստորագրություն ստեղծելու համար (եթե վկայականը հետագայում հայտնվի հարձակվողի ձեռքում, այն արդեն սպառված է):
- Сosign (Container Signing) գործիքակազմ է բեռնարկղերի համար ստորագրություններ ստեղծելու, ստորագրությունները ստուգելու և ստորագրված բեռնարկղերը OCI-ի (Open Container Initiative) հետ համատեղելի պահեստներում տեղադրելու համար:
Source: opennet.ru