Google tilkynnti um myndun fyrstu stöðugu útgáfunnar af íhlutunum sem mynda Sigstore verkefnið, sem er lýst hentugt til að búa til vinnuútfærslur. Sigstore þróar verkfæri og þjónustu fyrir sannprófun hugbúnaðar með því að nota stafrænar undirskriftir og viðhalda opinberri skrá sem staðfestir áreiðanleika breytinga (gagnsæisskrá). Verkefnið er þróað undir merkjum sjálfseignarstofnunarinnar Linux Foundation af Google, Red Hat, Cisco, vmWare, GitHub og HP Enterprise með þátttöku OpenSSF (Open Source Security Foundation) samtakanna og Purdue University.
Hægt er að hugsa um Sigstore sem Let's Encrypt fyrir kóða, sem veitir vottorð til að undirrita kóða stafrænt og verkfæri til að gera sjálfvirkan sannprófun. Með Sigstore geta forritarar undirritað forritstengda gripi á stafrænan hátt eins og útgáfuskrár, gámamyndir, upplýsingaskrá og keyrslu. Undirskriftarefnið endurspeglast í innbrotsvörnum opinberri annál sem hægt er að nota til sannprófunar og endurskoðunar.
Í stað varanlegra lykla notar Sigstore skammlífa skammlífa lykla, sem eru búnir til út frá skilríkjum sem hafa verið staðfest af OpenID Connect veitendum (á þeim tíma sem lyklar eru búnir til sem eru nauðsynlegir til að búa til stafræna undirskrift, auðkennir verktaki sig í gegnum OpenID veituna sem er tengdur við tölvupósti). Áreiðanleiki lyklanna er sannreyndur með því að nota opinberan miðlægan annál, sem gerir það mögulegt að sannreyna að höfundur undirskriftarinnar sé nákvæmlega sá sem hann segist vera, og undirskriftin var búin til af sama þátttakanda og bar ábyrgð á fyrri útgáfum.
Viðbúnaður Sigstore til innleiðingar er vegna myndun útgáfu tveggja lykilþátta - Rekor 1.0 og Fulcio 1.0, en hugbúnaðarviðmót þeirra eru lýst stöðug og munu halda áfram að vera afturábak samhæfð. Þjónustuhlutirnir eru skrifaðir í Go og dreift undir Apache 2.0 leyfinu.
Rekor hluti inniheldur log útfærslu til að geyma stafrænt undirritað lýsigögn sem endurspegla upplýsingar um verkefni. Til að tryggja heilleika og vernda gegn spillingu gagna eftir á, er Merkle Tree trébygging notuð, þar sem hver grein sannreynir allar undirliggjandi greinar og hnúta með sameiginlegum (tré) hashing. Með endanlega kjötkássa getur notandinn sannreynt réttmæti allrar aðgerðasögunnar, sem og réttmæti fyrri ástands gagnagrunnsins (rótarstaðfestingarkássið í nýju ástandi gagnagrunnsins er reiknað með hliðsjón af fyrra ástandi ). RESTful API er til staðar til að sannprófa og bæta við nýjum gögnum, svo og skipanalínuviðmót.
Fulcio hluti (SigStore WebPKI) inniheldur kerfi til að búa til vottunaryfirvöld (rótar-CA) sem gefa út skammtímavottorð byggð á tölvupósti sem er auðkenndur í gegnum OpenID Connect. Líftími vottorðsins er 20 mínútur, en þá verður verktaki að hafa tíma til að búa til stafræna undirskrift (ef vottorðið lendir síðar í höndum árásaraðila mun það þegar vera útrunnið). Auk þess er verkefnið að þróa Cosign (Container Signing) verkfærakistuna, hannað til að búa til undirskriftir fyrir gáma, sannreyna undirskriftir og setja undirritaða gáma í geymslur sem eru samhæfðar OCI (Open Container Initiative).
Innleiðing Sigstore gerir það mögulegt að auka öryggi dreifingarrása forrita og vernda gegn árásum sem miða að því að skipta um bókasöfn og ósjálfstæði (birgðakeðju). Eitt af lykilöryggisvandamálum í opnum hugbúnaði er erfiðleikarnir við að sannreyna uppruna forritsins og staðfesta byggingarferlið. Til dæmis nota flest verkefni kjötkássa til að sannreyna heilleika útgáfu, en oft eru upplýsingarnar sem nauðsynlegar eru fyrir auðkenningu geymdar á óvarin kerfum og í sameiginlegum kóðageymslum, þar af leiðandi geta árásarmenn skaðað skrárnar sem nauðsynlegar eru til sannprófunar og innleitt skaðlegar breytingar án þess að vekja grunsemdir.
Notkun stafrænna undirskrifta til að staðfesta útgáfu hefur ekki enn orðið útbreidd vegna erfiðleika við að stjórna lyklum, dreifa opinberum lyklum og afturkalla lykla sem eru í hættu. Til þess að sannprófun sé skynsamleg er auk þess nauðsynlegt að skipuleggja áreiðanlegt og öruggt ferli til að dreifa opinberum lyklum og eftirlitstölum. Jafnvel með stafræna undirskrift, hunsa margir notendur sannprófun vegna þess að þeir þurfa að eyða tíma í að læra sannprófunarferlið og skilja hvaða lykill er áreiðanlegur. Sigstore verkefnið reynir að einfalda og gera þessa ferla sjálfvirkan með því að bjóða upp á tilbúna og sannaða lausn.
Heimild: opennet.ru