Google huet d'Bildung vun den éischte stabile Verëffentlechunge vun de Komponenten ugekënnegt, déi de Sigstore-Projet bilden, dee gëeegent erkläert gëtt fir Aarbechtsimplementatiounen ze kreéieren. Sigstore entwéckelt Tools a Servicer fir Softwareverifizéierung mat digitale Ënnerschrëften an Erhalen vun engem ëffentleche Log, deen d'Authentizitéit vun den Ännerungen bestätegt (Transparenzprotokoll). De Projet gëtt ënner der Aschreiwung vun der Net-Gewënn Organisatioun Linux Foundation vu Google, Red Hat, Cisco, vmWare, GitHub an HP Enterprise mat der Participatioun vun der OpenSSF (Open Source Security Foundation) Organisatioun an der Purdue University entwéckelt.
Sigstore kann als Analog vu Let's Encrypt fir Code geduecht ginn, Certificaten fir digital Ënnerschrëft Code an Tools fir d'Verifikatioun ze automatiséieren. Mat Sigstore kënnen d'Entwéckler digital Applikatiounsbezunnen Artefakte wéi Verëffentlechungsdateien, Containerbiller, Manifestatiounen an Ausféierbar ënnerschreiwen. D'Ënnerschrëftmaterial gëtt an engem tamper-proofen ëffentleche Log reflektéiert dee fir Verifizéierung an Audit benotzt ka ginn.
Amplaz vu permanente Schlëssele benotzt Sigstore kuerzlieweg ephemeral Schlësselen, déi generéiert ginn op Basis vun Umeldungsinformatiounen bestätegt vun OpenID Connect Ubidder (zu der Zäit vun der Generatioun vun de Schlësselen déi néideg sinn fir eng digital Ënnerschrëft ze kreéieren, identifizéiert den Entwéckler sech duerch den OpenID Provider verbonne mat engem E-Mail). D'Authentizitéit vun de Schlësselen gëtt iwwerpréift mat engem ëffentlechen zentraliséierte Logbuch, wat et méiglech mécht ze verifizéieren datt den Auteur vun der Ënnerschrëft genau ass wien hie behaapt ze sinn, an d'Ënnerschrëft gouf vum selwechte Participant generéiert dee verantwortlech war fir vergaange Verëffentlechungen.
Dem Sigstore seng Bereetschaft fir d'Ëmsetzung ass wéinst der Bildung vu Verëffentlechungen vun zwee Schlësselkomponenten - Rekor 1.0 a Fulcio 1.0, d'Software-Interfaces vun deenen stabil deklaréiert sinn a weiderhin zréckkompatibel sinn. D'Servicekomponente ginn a Go geschriwwen a verdeelt ënner der Apache 2.0 Lizenz.
De Rekor Komponent enthält eng Log-Implementatioun fir digital ënnerschriwwe Metadaten ze späicheren, déi Informatioun iwwer Projeten reflektéieren. Fir Integritéit ze garantéieren a géint retrospektiv Datekorruptioun ze schützen, gëtt eng Merkle Tree Bam Struktur benotzt, an där all Branche all ënnerierdesch Branchen an Noden duerch gemeinsame (Bam) Hashing verifizéiert. Nodeems de finalen Hash ass, kann de Benotzer d'Korrektheet vun der ganzer Operatiounsgeschicht verifizéieren, souwéi d'Korrektheet vun de vergaangene Staaten vun der Datebank (de Root Verifizéierungshash vum neie Status vun der Datebank gëtt berechent andeems de vergaangene Staat berücksichtegt gëtt ). E RESTful API gëtt zur Verifizéierung geliwwert an nei Opzeechnunge bäigefüügt, souwéi eng Kommandozeil-Interface.
De Fulcio Komponent (SigStore WebPKI) enthält e System fir Zertifizéierungsautoritéiten (root CAs) ze kreéieren déi kuerzlieweg Zertifikater ausginn baséiert op E-Mail authentifizéiert duerch OpenID Connect. D'Liewensdauer vum Zertifika ass 20 Minutten, wärend den Entwéckler Zäit muss hunn fir eng digital Ënnerschrëft ze generéieren (wann de Certificat spéider an d'Hänn vun engem Ugräifer fällt, ass et scho ofgelaf). Zousätzlech entwéckelt de Projet de Cosign (Container Signing) Toolkit, entwéckelt fir Ënnerschrëfte fir Container ze generéieren, Ënnerschrëften z'iwwerpréiwen an ënnerschriwwene Container an Repositories kompatibel mat OCI (Open Container Initiative) ze placéieren.
D'Ëmsetze vu Sigstore mécht et méiglech d'Sécherheet vun de Programmverdeelungskanälen ze erhéijen an ze schützen géint Attacke fir d'Ersatz vun Bibliothéiken an Ofhängegkeeten (Versuergungskette). Ee vun de Schlëssel Sécherheetsproblemer an der Open Source Software ass d'Schwieregkeet fir d'Quell vum Programm z'iwwerpréiwen an de Bauprozess z'iwwerpréiwen. Zum Beispill benotzen déi meescht Projete Hashes fir d'Integritéit vun enger Verëffentlechung z'iwwerpréiwen, awer dacks gëtt d'Informatioun, déi fir d'Authentifikatioun néideg ass, op ongeschützte Systemer an a gemeinsame Code-Repositories gespäichert, als Resultat vun deenen Ugräifer d'Fichier'en néideg fir d'Verifizéierung kompromittéiere kënnen a béiswëlleg Ännerungen aféieren ouni Verdacht opzehiewen.
D'Benotzung vun digitalen Ënnerschrëften fir d'Verëffentlechungsverifizéierung ass nach net verbreet ginn wéinst Schwieregkeeten beim Gestioun vun Schlësselen, d'Verdeelung vun ëffentleche Schlësselen an d'Ofhuele vu kompromittéierte Schlësselen. Fir d'Verifizéierung Sënn ze maachen, ass et zousätzlech noutwendeg fir en zouverléissege a séchere Prozess ze organiséieren fir ëffentlech Schlësselen a Kontrollsummen ze verdeelen. Och mat enger digitaler Ënnerschrëft ignoréiere vill Benotzer d'Verifizéierung well se Zäit musse verbréngen fir de Verifizéierungsprozess ze léieren an ze verstoen wéi ee Schlëssel vertrauenswierdeg ass. De Sigstore Projet probéiert dës Prozesser ze vereinfachen an ze automatiséieren andeems se eng fäerdeg a bewährte Léisung ubidden.
Source: opennet.ru