Google formationi emissio primi stabilis partium quae Sigstore project formet, declaravit aptas ad effectum deducendi faciendis declaravit. Sigstore instrumenta et officia ad verificationem programmatum programmatis digitalis subscriptionibus adhibitis enucleat et conservat stipem publicam confirmans authenticitatem mutationum (log perspicuum). Exertum est sub auspiciis organizationis Linux fundationis non lucri augetur by Google, Red Hat, Cisco, vmWare, GitHub et HP Inceptum cum participatione OpenSSF (Open Source Security Foundation) et Universitatis Purdue.
Sigstore cogitari potest de Let's Encrypt pro codice, libellos praebens digitally signum signandi et instrumenta ad verificationem automatandam. Cum Sigstore, tincturae digitally signare possunt artificia applicationis relatas ut emissio imaginum, continens imagines, manifestat et executables. Materia ad signandum adhibita relucet in probatione publici stipendii sollicitandi, qui ad verificationem et auditionem adhiberi potest.
Loco clavium permanentium, Sigstore utitur clavibus evanidis brevibus ephemeralibus quae generantur ex documentorum verificatis ab OpenID Provisoribus Connecte (tempore clavium generandi necessaria ad subscriptionem digitalem creandi, elit se per OpenID provisorem cum ligamento email. ). authenticitas clavium per stipes centrales publicas verificatur, quae tibi permittit ut auctor subscriptionis prorsus sit quem se esse profitetur, et subscriptio ab eodem particeps facta est quae responsabilis praeteritorum emissionum fuit.
Sigstoris promptitudo ad exsequendam formationem emissiones duarum partium clavis - Rekor 1.0 et Fulcio 1.0 debetur, quorum programmatio interfaces stabilis declaratur et deinceps convenientiae retrorsum retinens. Ministerium partium in Go et sub Apache 2.0 licentia distributa sunt.
Componente Rekor inserendum truncum continet metadata digitally signatum quae informationes de inceptis reflectit. Ad integritatem et tutelam contra notitia corruptionis curandam, structura arboris Merkle arboris adhibetur, in qua omnes rami et nodi per iuncturas (arboris) hashing omnes subiacentes verificat. Nullam finalem habens, user rectitudinem totius historiae operationum cognoscere potest, ac rectitudinem praeteritorum statuum datorum (radix verificationis Nullam novi status database computatur ratione praeteritorum rerum. ). REQUIES API providetur ad comprobandas et novas tabulas addendo, et ad lineam interfaciei praecepti.
Fulcio componentis (SigStore WebPKI) systema includit auctoritatibus certificatorium creandi (radix CAs) quae breves vivae testimoniales subsunt secundum electronicae authenticas per OpenID Connect. Vita certificamenti est 20 minuta, in quibus electronica tempus debet generare subscriptionem digitalem (si in futuro testimonium incidat in manus impugnantis, iam exspirabitur). Accedit consilium instrumentum Cosignum (Continens Signing) toolkit, signaturas generare pro vasis, cognoscere signaturas et locum signatum vasis in repositoriis compatitur cum OCI (Open Continentem Initiativum).
Introductio Sigstoris efficit ut securitatem canales distribuendi augeat et defendat contra impetus librariorum et dependentiarum substituendis (copia catenae). Una e praecipuis securitatis quaestionibus in fonte aperto programmatis est difficultas verificandi fontem programmatis et examinandi processus aedificandi. Exempli gratia, maxime incepta sunt usus ad reprimendam integritatem emissionis reprimendam, sed saepe informationes ad authenticas necessarias in apertis systematibus et in repositoriis communibus cum codice reponuntur, ex quibus, si compromissum est, oppugnatores possunt reponere tabellas necessarias ad verificationem et, sine suspicione, malitiosas mutationes inducere.
Usus subscriptionum digitalium ad verificationem remissionis nondum diffusus factus est propter difficultates in administratione clavis, distributione clavium publicarum et revocatione clavium aedilium. Ut verificationem ad sensum adhibeas, praeterea certum ac securum processum instituere oportet ad claves publicas et schedas distribuendas. Etiam cum subscriptione digitalis, multi utentes verificationem ignorent, quia tempus accipit discendi processum verificationis et intellegendi quae clavis est fide digna. Consilium Sigstore simpliciorem ac automate hos processus efficere conatur, solutionem paratam et probatam praebens.
Source: opennet.ru