Red Hat a Google, zesumme mat der Purdue University, hunn de Sigstore Projet gegrënnt, fir Tools a Servicer ze kreéieren fir Software mat digitale Ënnerschrëften z'iwwerpréiwen an en ëffentleche Log z'erhalen fir d'Authentizitéit ze bestätegen (Transparenzlog). De Projet gëtt ënnert der Regie vun der Asbl Linux Foundation entwéckelt.
De proposéierte Projet wäert d'Sécherheet vu Software Verdeelungskanäl verbesseren a schützen géint Attacke fir Softwarekomponenten an Ofhängegkeeten z'ersetzen (Versuergungskette). Ee vun de Schlëssel Sécherheetsproblemer an der Open Source Software ass d'Schwieregkeet fir d'Quell vum Programm z'iwwerpréiwen an de Bauprozess z'iwwerpréiwen. Zum Beispill benotzen déi meescht Projete Hashes fir d'Integritéit vun enger Verëffentlechung z'iwwerpréiwen, awer dacks gëtt d'Informatioun, déi fir d'Authentifikatioun néideg ass, op ongeschützte Systemer an a gemeinsame Code-Repositories gespäichert, als Resultat vun deenen Ugräifer d'Dateien déi néideg sinn fir d'Verifizéierung kompromittéieren an béiswëlleg Ännerungen aféieren ouni Verdacht opzehiewen.
Nëmmen e klengen Undeel vu Projete benotzt digital Ënnerschrëften beim Verdeelen vun Verëffentlechungen wéinst de Schwieregkeeten beim Gestioun vu Schlësselen, Verdeelung vun ëffentleche Schlësselen a Réckzuch vun kompromittéierte Schlësselen. Fir d'Verifizéierung Sënn ze maachen, ass et och néideg en zouverléissege a séchere Prozess ze organiséieren fir ëffentlech Schlësselen a Kontrollsummen ze verdeelen. Och mat enger digitaler Ënnerschrëft ignoréiere vill Benotzer d'Verifizéierung well se Zäit musse verbréngen fir de Verifizéierungsprozess ze studéieren an ze verstoen wéi ee Schlëssel vertrauenswierdeg ass.
Sigstore gëtt als Äquivalent vum Let's Encrypt for Code ugekënnegt, Certificate fir digital Ënnerschrëft Code an Tools fir d'Verifizéierung ze automatiséieren. Mat Sigstore kënnen d'Entwéckler digital Applikatiounsrelatéiert Artefakte wéi Verëffentlechungsdateien, Containerbiller, Manifestatiounen an Ausféierbar ënnerschreiwen. Eng speziell Feature vu Sigstore ass datt d'Material dat fir d'Ënnerschreiwe benotzt gëtt an engem tamper-proof ëffentleche Log reflektéiert gëtt, dee fir Verifizéierung an Audit benotzt ka ginn.
Amplaz vu permanente Schlësselen benotzt Sigstore kuerzlieweg ephemeral Schlësselen, déi generéiert ginn op Basis vun Umeldungsinformatiounen bestätegt vun OpenID Connect Ubidder (zu der Zäit fir Schlësselen fir eng digital Ënnerschrëft ze generéieren, identifizéiert den Entwéckler sech duerch en OpenID Provider verbonne mat enger E-Mail). D'Authentizitéit vun de Schlësselen gëtt iwwerpréift mat engem ëffentlechen zentraliséierte Logbuch, wat et méiglech mécht z'iwwerpréiwen datt den Auteur vun der Ënnerschrëft genau ass wien hie behaapt ze sinn an d'Ënnerschrëft gouf vum selwechte Participant geformt, dee verantwortlech war fir vergaange Verëffentlechungen.
Sigstore bitt souwuel e fäerdege Service deen Dir scho benotze kënnt, an eng Rei vun Tools déi Iech erlaben ähnlech Servicer op Ärem eegenen Ausrüstung z'installéieren. De Service ass gratis fir all Entwéckler a Software Ubidder, an ass op enger neutraler Plattform ofgesat - der Linux Foundation. All Komponente vum Service sinn Open Source, geschriwwen a Go a verdeelt ënner der Apache 2.0 Lizenz.
Ënnert den entwéckelte Komponente kënne mir notéieren:
- Rekor ass eng Log-Implementatioun fir digital ënnerschriwwene Metadaten ze späicheren, déi Informatioun iwwer Projeten reflektéieren. Fir d'Integritéit ze garantéieren an d'Datekorruptioun no der Tatsaach ze schützen, gëtt eng Bamähnlech Struktur "Merkle Tree" benotzt, an där all Branche all ënnerierdesch Branchen a Wirbelen verifizéiert, dank gemeinsame (baumähnlechen) Hashing. Nodeems de finalen Hash ass, kann de Benotzer d'Korrektheet vun der ganzer Geschicht vun den Operatiounen verifizéieren, souwéi d'Korrektheet vun de vergaangene Staate vun der Datebank (de Root Verifizéierungshash vum neie Status vun der Datebank gëtt berechent andeems de vergaangene Staat berücksichtegt gëtt ). Fir z'iwwerpréiwen an nei Opzeechnungen ze addéieren, gëtt e Restful API zur Verfügung gestallt, souwéi eng Cli Interface.
- Fulcio (SigStore WebPKI) ass e System fir Zertifizéierungsautoritéiten (Root-CAs) ze kreéieren déi kuerzlieweg Certificaten ausginn baséiert op E-Mail authentifizéiert iwwer OpenID Connect. D'Liewensdauer vum Zertifika ass 20 Minutten, wärend den Entwéckler Zäit muss hunn fir eng digital Ënnerschrëft ze generéieren (wann de Certificat spéider an d'Hänn vun engem Ugräifer fällt, ass et scho ofgelaf).
- Сosign (Container Signing) ass e Toolkit fir Ënnerschrëfte fir Container ze generéieren, Ënnerschrëften z'iwwerpréiwen an ënnerschriwwene Container an Repositories kompatibel mat OCI (Open Container Initiative) ze placéieren.
Source: opennet.ru