Google mengumumkan pembentukan keluaran stabil pertama komponen yang membentuk projek Sigstore, yang diisytiharkan sesuai untuk mencipta pelaksanaan yang berfungsi. Sigstore membangunkan alat dan perkhidmatan untuk pengesahan perisian menggunakan tandatangan digital dan mengekalkan log awam yang mengesahkan ketulenan perubahan (log ketelusan). Projek ini sedang dibangunkan di bawah naungan organisasi bukan untung Linux Foundation oleh Google, Red Hat, Cisco, vmWare, GitHub dan HP Enterprise dengan penyertaan organisasi OpenSSF (Open Source Security Foundation) dan Universiti Purdue.
Sigstore boleh dianggap sebagai Let's Encrypt untuk kod, menyediakan sijil untuk menandatangani kod secara digital dan alatan untuk mengautomasikan pengesahan. Dengan Sigstore, pembangun boleh menandatangani artifak berkaitan aplikasi secara digital seperti fail keluaran, imej bekas, manifes dan boleh laku. Bahan tandatangan ditunjukkan dalam log awam kalis gangguan yang boleh digunakan untuk pengesahan dan pengauditan.
Daripada kunci kekal, Sigstore menggunakan kunci sementara jangka pendek, yang dijana berdasarkan bukti kelayakan yang disahkan oleh penyedia OpenID Connect (pada masa menjana kunci yang diperlukan untuk mencipta tandatangan digital, pembangun mengenal pasti dirinya melalui pembekal OpenID yang dipautkan kepada e-mel). Ketulenan kunci disahkan menggunakan log terpusat awam, yang membolehkan untuk mengesahkan bahawa pengarang tandatangan adalah betul-betul yang didakwanya, dan tandatangan itu dihasilkan oleh peserta yang sama yang bertanggungjawab untuk keluaran masa lalu.
Kesediaan Sigstore untuk pelaksanaan adalah disebabkan oleh pembentukan keluaran dua komponen utama - Rekor 1.0 dan Fulcio 1.0, antara muka perisian yang diisytiharkan stabil dan akan terus serasi ke belakang. Komponen perkhidmatan ditulis dalam Go dan diedarkan di bawah lesen Apache 2.0.
Komponen Rekor mengandungi pelaksanaan log untuk menyimpan metadata yang ditandatangani secara digital yang mencerminkan maklumat tentang projek. Untuk memastikan integriti dan melindungi daripada rasuah data selepas fakta itu, struktur pokok Merkle Tree digunakan, di mana setiap cawangan mengesahkan semua cawangan dan nod asas melalui pencincangan bersama (pokok). Mempunyai cincangan terakhir, pengguna boleh mengesahkan ketepatan keseluruhan sejarah operasi, serta ketepatan keadaan pangkalan data yang lalu (cincang pengesahan akar bagi keadaan baharu pangkalan data dikira dengan mengambil kira keadaan masa lalu ). API RESTful disediakan untuk pengesahan dan menambah rekod baharu, serta antara muka baris arahan.
Komponen Fulcio (SigStore WebPKI) termasuk sistem untuk mencipta pihak berkuasa pensijilan (root CA) yang mengeluarkan sijil jangka pendek berdasarkan e-mel yang disahkan melalui OpenID Connect. Jangka hayat sijil ialah 20 minit, di mana pembangun mesti mempunyai masa untuk menjana tandatangan digital (jika sijil itu kemudiannya jatuh ke tangan penyerang, ia akan tamat tempoh). Selain itu, projek ini sedang membangunkan kit alat Cosign (Penandatanganan Kontena), yang direka untuk menjana tandatangan bagi bekas, mengesahkan tandatangan dan meletakkan bekas yang ditandatangani dalam repositori yang serasi dengan OCI (Inisiatif Kontena Terbuka).
Pelaksanaan Sigstore memungkinkan untuk meningkatkan keselamatan saluran pengedaran program dan melindungi daripada serangan yang bertujuan untuk menggantikan perpustakaan dan tanggungan (rantaian bekalan). Salah satu masalah keselamatan utama dalam perisian sumber terbuka ialah kesukaran untuk mengesahkan sumber program dan mengesahkan proses binaan. Sebagai contoh, kebanyakan projek menggunakan cincang untuk mengesahkan integriti keluaran, tetapi selalunya maklumat yang diperlukan untuk pengesahan disimpan pada sistem yang tidak dilindungi dan dalam repositori kod kongsi, akibatnya penyerang boleh menjejaskan fail yang diperlukan untuk pengesahan dan memperkenalkan perubahan berniat jahat tanpa menimbulkan syak wasangka.
Penggunaan tandatangan digital untuk pengesahan keluaran masih belum meluas disebabkan oleh kesukaran mengurus kunci, mengedarkan kunci awam dan membatalkan kunci yang terjejas. Untuk pengesahan menjadi masuk akal, adalah perlu untuk mengatur proses yang boleh dipercayai dan selamat untuk mengedarkan kunci awam dan jumlah semak. Walaupun dengan tandatangan digital, ramai pengguna mengabaikan pengesahan kerana mereka perlu meluangkan masa mempelajari proses pengesahan dan memahami kunci yang boleh dipercayai. Projek Sigstore cuba untuk memudahkan dan mengautomasikan proses ini dengan menyediakan penyelesaian siap sedia dan terbukti.
Sumber: opennet.ru