Red Hat û Google, bi Zanîngeha Purdue re, projeya Sigstore ava kirin, ku armanc ew e ku amûr û karûbaran ji bo verastkirina nermalavê bi karanîna îmzeyên dîjîtal û domandina têketinek gelemperî ji bo piştrastkirina rastîniyê (qeyda zelaliyê) çêbikin. Proje dê di bin banê rêxistina ne-qezenc Linux Foundation de were pêşve xistin.
Projeya pêşniyarkirî dê ewlehiya kanalên belavkirina nermalavê çêtir bike û li hember êrişên ku bi mebesta cîhgirtina pêkhateyên nermalavê û girêdayîbûnê (zincîra peydakirinê) têne parastin. Yek ji pirsgirêkên ewlehiyê yên sereke di nermalava çavkaniya vekirî de dijwariya verastkirina çavkaniya bernameyê û verastkirina pêvajoya çêkirinê ye. Mînakî, piraniya projeyan ji bo verastkirina yekdestiya serbestberdanê hashes bikar tînin, lê pir caran agahdariya ku ji bo rastkirinê hewce dike li ser pergalên neparastî û di depoyên kodê yên hevpar de têne hilanîn, ji ber vê yekê êrîşkar dikarin pelên ku ji bo verastkirinê hewce ne tawîz bikin û guhertinên xerab pêk bînin. bêyî ku gumanan zêde bike.
Tenê beşek piçûk ji projeyan dema belavkirina belavokan ji ber dijwariyên di rêvebirina mifteyan de, belavkirina mifteyên gelemperî, û betalkirina mifteyên lihevkirî de, îmzeyên dîjîtal bikar tînin. Ji bo ku verastkirin watedar be, di heman demê de pêdivî ye ku ji bo belavkirina mifteyên giştî û kontrolê pêvajoyek pêbawer û ewledar were organîze kirin. Tewra bi îmzeyek dîjîtal re, pir bikarhêner verastkirinê paşguh dikin ji ber ku ew hewce ne ku wextê xwe bi xwendina pêvajoya verastkirinê re derbas bikin û fêm bikin ka kîjan key pêbawer e.
Sigstore wekî hevwateya Let's Encrypt ji bo kodê tête binav kirin, sertîfîkayên ji bo koda îmzekirina dîjîtal û amûrên ji bo verastkirina otomatîkî peyda dike. Bi Sigstore re, pêşdebir dikarin bi dîjîtal hunerên serîlêdanê yên wekî pelên serbestberdanê, wêneyên konteynerê, manîfesto, û pêkanan îmze bikin. Taybetmendiyek taybetî ya Sigstore ev e ku materyalê ku ji bo îmzekirinê tê bikar anîn di têketinek gelemperî ya ku ji bo verastkirin û venêrînê dikare were bikar anîn de tê xuyang kirin.
Li şûna bişkokên daîmî, Sigstore bişkojkên demkurt ên demkurt bikar tîne, yên ku li ser bingeha pêbaweriyên ku ji hêla pêşkêşkerên OpenID Connect ve hatine pejirandin têne çêkirin (di dema çêkirina mifteyên ji bo îmzeyek dîjîtal de, pêşdebir xwe bi navgînek pêşkêşkerek OpenID-ê ya ku bi e-nameyê ve girêdayî ye nas dike). Rastiya kilîtan bi karanîna têketinek navendîkirî ya gelemperî tê verast kirin, ku ev yek dihêle ku hûn rast bikin ka nivîskarê îmzeyê tam yê ku ew îdîa dike ye û îmze ji hêla heman beşdarê ku berpirsiyarê weşanên berê bû ve hatî çêkirin.
Sigstore hem karûbarek amadekirî ya ku hûn dikarin berê bikar bînin, hem jî komek amûran peyda dike ku dihêle hûn karûbarên wekhev li ser alavên xwe bicîh bikin. Karûbar ji bo hemî pêşdebir û pêşkêşkerên nermalavê belaş e, û li ser platformek bêalî - Weqfa Linux-ê tête bicîh kirin. Hemî hêmanên karûbar çavkaniya vekirî ne, di Go de têne nivîsandin û di bin lîsansa Apache 2.0 de têne belav kirin.
Di nav pêkhateyên pêşkeftî de em dikarin destnîşan bikin:
- Rekor ji bo hilanîna metadaneyên bi dîjîtal ên îmzekirî ku agahdariya di derbarê projeyan de vedibêje, pêkanîna têketinê ye. Ji bo misogerkirina yekitiyê û parastina li dijî gendeliya daneyan piştî rastiyê, avahiyek mîna darê "Dara Merkle" tê bikar anîn, ku tê de her şax hemî şax û girêkên jêrîn verast dike, bi saya hevgirtinê (mîna darê). Bi hashaya paşîn, bikarhêner dikare rastbûna tevahiya dîroka operasyonan, û her weha rastbûna rewşên berê yên databasê verast bike (haşa rastkirina root ya rewşa nû ya databasê li gorî rewşa berê tê hesibandin ). Ji bo verastkirin û lê zêdekirina tomarên nû, API-ya Restful, û her weha navgînek cli tê peyda kirin.
- Fulcio (SigStore WebPKI) pergalek e ji bo afirandina rayedarên pejirandinê (Root-CAs) ku sertîfîkayên demkurt li ser bingeha e-nameya ku bi rêya OpenID Connect ve hatî pejirandin derdixe. Temenê sertîfîkayê 20 hûrdem e, di vê dema ku pêşdebir divê dem hebe ku îmzeyek dîjîtal çêbike (eger sertîfîka paşê bikeve destê êrîşkerek, ew ê jixwe qediya be).
- Сosign (Îmzekirina Konteyner) amûrek e ji bo çêkirina îmzeyan ji bo konteyneran, verastkirina îmzeyan û danîna konteynerên îmzekirî di depoyên ku bi OCI (Insiyatîfa Konteynirê Vekirî) re lihevhatî ne.
Source: opennet.ru