Red Hat sy Google, miaraka amin'ny Anjerimanontolon'i Purdue, dia nanangana ny tetikasa Sigstore, mikendry ny hamorona fitaovana sy serivisy hanamarinana ny rindrambaiko amin'ny fampiasana sonia nomerika sy ny fitazonana ny diarin'ny daholobe hanamafisana ny maha-azo itokiana azy (Login'ny mangarahara). Ny tetikasa dia hovolavolaina eo ambany fiahian'ny fikambanana tsy mitady tombony Linux Foundation.
Ny tetikasa natolotra dia hanatsara ny fiarovana ny fantsona fizarana rindrambaiko ary hiaro amin'ny fanafihana mikendry ny hanolo ny singa rindrambaiko sy ny fiankinan-doha (rojo famatsiana). Ny iray amin'ireo olana lehibe amin'ny fiarovana amin'ny rindrambaiko open source dia ny fahasarotan'ny fanamarinana ny loharanon'ny programa sy ny fanamarinana ny fizotran'ny fananganana. Ohatra, ny ankamaroan'ny tetikasa dia mampiasa tenifototra mba hanamarinana ny fahamarinan'ny famoahana, fa matetika ny fampahalalana ilaina amin'ny fanamarinana dia voatahiry amin'ny rafitra tsy voaaro sy ao amin'ny toeram-pitrandrahana kaody ifampizarana, izay vokatry ny fanafihan'ny mpanafika dia afaka mampandefitra ny rakitra ilaina amin'ny fanamarinana sy mampiditra fanovana ratsy. tsy mampiahiahy.
Ampahany kely amin'ny tetikasa ihany no mampiasa sonia nomerika rehefa mizara famoahana noho ny fahasahiranana eo amin'ny fitantanana ny lakile, ny fizarana ny fanalahidin'ny daholobe ary ny fanafoanana ny lakile simba. Mba hahatonga ny fanamarinana ho tonga saina dia ilaina ihany koa ny mandamina dingana azo antoka sy azo antoka amin'ny fizarana ny fanalahidin'ny daholobe sy ny checksums. Na dia amin'ny sonia nomerika aza dia maro ny mpampiasa no tsy miraharaha ny fanamarinana satria mila mandany fotoana handinihana ny fizotran'ny fanamarinana sy hahatakatra izay fanalahidy azo itokisana.
Ny Sigstore dia lazaina ho mitovy amin'ny Let's Encrypt ho an'ny kaody, manome mari-pankasitrahana ho an'ny kaody sonia nomerika sy fitaovana ho an'ny fanamarinana automatique. Miaraka amin'ny Sigstore, ny mpamorona dia afaka manao sonia nomerika ireo artifact mifandraika amin'ny fampiharana toy ny famoahana rakitra, sary fitoeran-javatra, fisehoana ary azo tanterahana. Ny endri-javatra manokana amin'ny Sigstore dia ny fitaovana ampiasaina amin'ny fanaovana sonia dia hita taratra amin'ny diarin'ny daholobe tsy misy fanitsakitsahana izay azo ampiasaina amin'ny fanamarinana sy fanaraha-maso.
Raha tokony ho fanalahidy maharitra, Sigstore dia mampiasa fanalahidin'ny ephemeral fohy, izay novolavolaina mifototra amin'ny fahazoan-dΓ lana nohamafisin'ireo mpamatsy OpenID Connect (amin'ny fotoana famokarana fanalahidy ho an'ny sonia nomerika, ny mpamorona dia mampahafantatra ny tenany amin'ny alΓ lan'ny mpamatsy OpenID mifandray amin'ny mailaka). Ny maha-azo itokiana ny lakile dia voamarina amin'ny fampiasana logiciel centralized public, izay ahafahana manamarina fa ny mpanoratra ny sonia no tena lazainy ary ny sonia dia noforonin'ny mpandray anjara iray izay tompon'andraikitra tamin'ny famoahana taloha.
Ny Sigstore dia manome serivisy efa vita izay efa azonao ampiasaina, ary fitaovana iray ahafahanao mametraka serivisy mitovy amin'izany amin'ny fitaovanao manokana. Maimaim-poana ny serivisy ho an'ny mpamorona sy mpanome rindrankajy rehetra, ary apetraka amin'ny sehatra tsy miandany - ny Linux Foundation. Ny singa rehetra amin'ny serivisy dia loharano misokatra, voasoratra ao amin'ny Go ary zaraina amin'ny alΓ lan'ny lisansa Apache 2.0.
Anisan'ireo singa novolavolaina isika dia afaka manamarika:
- Rekor dia fampiharana lozisialy amin'ny fitehirizana metadata nosoniavina nomerika mampiseho ny vaovao momba ny tetikasa. Mba hiantohana ny fahamendrehana sy ny fiarovana amin'ny kolikoly angon-drakitra aorian'ny zava-misy, dia ampiasaina ny rafitra mitovy amin'ny hazo "Merkle Tree", izay anamarinan'ny sampana tsirairay ny sampana sy ny nodes rehetra, noho ny fanenjehana mitambatra (tahaka ny hazo). Ny fananana ny tenifototra farany, ny mpampiasa dia afaka manamarina ny fahamarinan'ny tantaran'ny asa manontolo, ary koa ny fahamarinan'ny fanjakana taloha amin'ny angon-drakitra (ny fakan-tsarimihetsika fanamarinana ny fanjakana vaovao amin'ny angon-drakitra dia kajy raha jerena ny fanjakana taloha. ). Mba hanamarinana sy hanampiana firaketana vaovao dia omena ny Restful API, ary koa ny interface cli.
- Fulcio (SigStore WebPKI) dia rafitra iray hamoronana manampahefana fanamarinana (Root-CAs) izay mamoaka mari-pankasitrahana vetivety mifototra amin'ny mailaka voamarina amin'ny OpenID Connect. Ny androm-piainan'ny taratasy fanamarinana dia 20 minitra, izay tsy maintsy ananan'ny mpamorona ny fotoana hamoronana sonia nomerika (raha toa ka latsaka eo am-pelatanan'ny mpanafika ny taratasy fanamarinana dia efa lany daty).
- Π‘osign (Container Signing) dia fitaovana enti-mamorona sonia ho an'ny kaontenera, manamarina ny sonia ary mametraka ny kaontenera voasonia ao amin'ny tahiry mifanaraka amin'ny OCI (Open Container Initiative).
Source: opennet.ru