Red Hat lan Google, bebarengan karo Universitas Purdue, ngedegake proyek Sigstore, ngarahake nggawe alat lan layanan kanggo verifikasi piranti lunak nggunakake tandha digital lan njaga log umum kanggo konfirmasi keasliane (log transparan). Proyek kasebut bakal dikembangake ing sangisore organisasi nirlaba Linux Foundation.
Proyèk sing diusulake bakal nambah keamanan saluran distribusi piranti lunak lan nglindhungi saka serangan sing dituju kanggo ngganti komponen piranti lunak lan dependensi (rantai pasokan). Salah sawijining masalah keamanan utama ing piranti lunak sumber terbuka yaiku angel kanggo verifikasi sumber program lan verifikasi proses mbangun. Contone, umume proyek nggunakake hash kanggo verifikasi integritas rilis, nanging asring informasi sing dibutuhake kanggo otentikasi disimpen ing sistem sing ora dilindhungi lan ing repositori kode sing dienggo bareng, minangka akibat saka panyerang bisa kompromi file sing dibutuhake kanggo verifikasi lan ngenalake owah-owahan sing ala. tanpa nuwuhake rasa curiga.
Mung proporsi cilik proyek sing nggunakake tandha digital nalika nyebarake rilis amarga kesulitan ngatur kunci, nyebarake kunci umum, lan mbatalake kunci sing dikompromi. Supaya verifikasi bisa dingerteni, uga perlu kanggo ngatur proses sing dipercaya lan aman kanggo nyebarake kunci umum lan checksum. Malah kanthi tandha digital, akeh pangguna ora nglirwakake verifikasi amarga kudu nglampahi wektu sinau proses verifikasi lan ngerti kunci sing bisa dipercaya.
Sigstore diarani minangka padha karo Let's Encrypt kanggo kode, nyedhiyakake sertifikat kanggo kode tandha digital lan alat kanggo verifikasi otomatis. Kanthi Sigstore, pangembang bisa mlebu kanthi digital artefak sing gegandhengan karo aplikasi kayata file rilis, gambar wadah, manifes, lan eksekusi. Fitur khusus saka Sigstore yaiku materi sing digunakake kanggo tandha dibayangke ing log umum sing bisa digunakake kanggo verifikasi lan audit.
Tinimbang tombol permanen, Sigstore nggunakake tombol ephemeral cendhak, sing digawe adhedhasar kredensial sing dikonfirmasi dening panyedhiya OpenID Connect (ing wektu ngasilake kunci kanggo teken digital, pangembang ngenali awake dhewe liwat panyedhiya OpenID sing disambung menyang email). Keaslian tombol kasebut diverifikasi nggunakake log terpusat umum, sing ndadekake bisa verifikasi manawa penulis teken iku persis sing diklaim lan teken kasebut dibentuk dening peserta sing padha tanggung jawab kanggo rilis sing kepungkur.
Sigstore nyedhiyakake layanan siap-siap sing wis bisa digunakake, lan sakumpulan alat sing ngidini sampeyan masang layanan sing padha ing peralatan sampeyan dhewe. Layanan kasebut gratis kanggo kabeh pangembang lan panyedhiya piranti lunak, lan disebarake ing platform netral - Linux Foundation. Kabeh komponen layanan mbukak sumber, ditulis ing Go lan disebarake miturut lisensi Apache 2.0.
Antarane komponen sing dikembangake bisa dicathet:
- Rekor minangka implementasi log kanggo nyimpen metadata sing ditandatangani kanthi digital sing nggambarake informasi babagan proyek. Kanggo mesthekake integritas lan nglindhungi saka korupsi data sawise kasunyatan, struktur wit-kaya "Merkle Tree" digunakake, kang saben cabang verifikasi kabeh cabang ndasari lan kelenjar, thanks kanggo joint (kaya wit) hashing. Duwe hash pungkasan, pangguna bisa verifikasi bener kabeh riwayat operasi, uga bener saka negara-negara database sing kepungkur (hash verifikasi root saka negara database anyar diwilang kanthi nimbang kahanan kepungkur. ). Kanggo verifikasi lan nambah cathetan anyar, API Restful diwenehake, uga antarmuka cli.
- Fulcio (SigStore WebPKI) iku sistem kanggo nggawe panguwasa sertifikasi (Root-CAs) sing ngetokake sertifikat short-urip adhedhasar email otentikasi liwat OpenID Connect. Umur sertifikat yaiku 20 menit, sajrone pangembang kudu duwe wektu kanggo ngasilake teken digital (yen sertifikat kasebut mengko tiba ing tangan penyerang, mesthine wis kadaluwarsa).
- Π‘osign (Container Signing) minangka toolkit kanggo ngasilake teken kanggo kontaner, verifikasi teken lan nempatake kontaner sing ditandatangani ing repositori sing kompatibel karo OCI (Open Container Initiative).
Source: opennet.ru