Google ngumumake pambentukan rilis stabil pisanan saka komponen sing mbentuk proyek Sigstore, sing diumumake cocok kanggo nggawe implementasi kerja. Sigstore ngembangake alat lan layanan kanggo verifikasi piranti lunak nggunakake teken digital lan njaga log umum sing konfirmasi keasliane owah-owahan (log transparansi). Proyek iki dikembangake ing sangisore organisasi nirlaba Linux Foundation dening Google, Red Hat, Cisco, vmWare, GitHub lan HP Enterprise kanthi partisipasi organisasi OpenSSF (Open Source Security Foundation) lan Universitas Purdue.
Sigstore bisa dianggep minangka Ayo Encrypt kanggo kode, nyedhiyakake sertifikat kanggo mlebu kode digital lan alat kanggo ngotomatisasi verifikasi. Kanthi Sigstore, pangembang bisa mlebu kanthi digital artefak sing gegandhengan karo aplikasi kayata file rilis, gambar wadah, manifes, lan eksekusi. Materi teken dicethakakΓ© ana ing log umum tamper-bukti sing bisa digunakake kanggo verifikasi lan audit.
Tinimbang kunci permanen, Sigstore nggunakake tombol ephemeral sing ora suwe, sing digawe adhedhasar kredensial sing dikonfirmasi dening panyedhiya OpenID Connect (nalika nggawe kunci sing dibutuhake kanggo nggawe teken digital, pangembang ngenali awake dhewe liwat panyedhiya OpenID sing disambung menyang email). Keasliane tombol wis diverifikasi nggunakake log terpusat umum, kang ndadekake iku bisa kanggo verifikasi sing penulis teken iku persis sing ngaku, lan teken digawe dening peserta padha tanggung jawab kanggo release kepungkur.
Kesiapan Sigstore kanggo implementasine amarga pambentukan rilis rong komponen utama - Rekor 1.0 lan Fulcio 1.0, antarmuka piranti lunak sing diumumake stabil lan bakal terus kompatibel. Komponen layanan ditulis ing Go lan disebarake miturut lisensi Apache 2.0.
Komponen Rekor ngemot implementasi log kanggo nyimpen metadata sing ditandatangani kanthi digital sing nggambarake informasi babagan proyek. Kanggo mesthekake integritas lan nglindhungi saka korupsi data sawise kasunyatan, struktur wit Merkle Tree digunakake, kang saben cabang verifikasi kabeh cabang ndasari lan kelenjar liwat joint (wit) hashing. Duwe hash pungkasan, pangguna bisa verifikasi bener kabeh riwayat operasi, uga bener saka negara-negara database sing kepungkur (hash verifikasi root saka negara database anyar diwilang kanthi nimbang kahanan kepungkur. ). API RESTful diwenehake kanggo verifikasi lan nambah cathetan anyar, uga antarmuka baris perintah.
Komponen Fulcio (SigStore WebPKI) kalebu sistem kanggo nggawe panguwasa sertifikasi (root CAs) sing ngetokake sertifikat short-urip adhedhasar email sing dikonfirmasi liwat OpenID Connect. Umur sertifikat yaiku 20 menit, sajrone pangembang kudu duwe wektu kanggo ngasilake teken digital (yen sertifikat kasebut mengko tiba ing tangan penyerang, mesthine wis kadaluwarsa). Kajaba iku, proyek kasebut ngembangake toolkit Cosign (Container Signing), sing dirancang kanggo ngasilake tanda tangan kanggo wadhah, verifikasi tanda tangan lan nyelehake wadhah sing ditandatangani ing repositori sing kompatibel karo OCI (Open Container Initiative).
Implementasine Sigstore ndadekake iku bisa kanggo nambah keamanan saluran distribusi program lan nglindhungi saka serangan ngarahke ing substitusi perpustakaan lan dependensi (rantai sumber). Salah sawijining masalah keamanan utama ing piranti lunak sumber terbuka yaiku angel kanggo verifikasi sumber program lan verifikasi proses mbangun. Contone, umume proyek nggunakake hash kanggo verifikasi integritas rilis, nanging asring informasi sing dibutuhake kanggo otentikasi disimpen ing sistem sing ora dilindhungi lan ing repositori kode sing dienggo bareng, minangka akibat saka panyerang bisa kompromi file sing dibutuhake kanggo verifikasi lan ngenalake owah-owahan sing ala. tanpa nuwuhake rasa curiga.
Panggunaan tanda tangan digital kanggo verifikasi rilis durung nyebar amarga kesulitan ngatur kunci, nyebarake kunci umum, lan mbatalake kunci sing dikompromi. Supaya verifikasi bisa dingerteni, perlu kanggo ngatur proses sing dipercaya lan aman kanggo nyebarake kunci umum lan checksum. Malah kanthi tandha digital, akeh pangguna ora nglirwakake verifikasi amarga kudu nglampahi wektu sinau proses verifikasi lan ngerti kunci sing bisa dipercaya. Proyek Sigstore nyoba nyederhanakake lan ngotomatisasi proses kasebut kanthi menehi solusi sing wis siap lan wis kabukten.
Source: opennet.ru