Google e phatlalalitse ho thehoa ha likhaolo tsa pele tse tsitsitseng tsa likarolo tse etsang morero oa Sigstore, o boleloang o loketse ho theha ts'ebetsong ea ts'ebetsong. Sigstore e nts'etsapele lisebelisoa le lits'ebeletso tsa netefatso ea software e sebelisa li-signature tsa dijithale le ho boloka tlaleho ea sechaba e netefatsang bonnete ba liphetoho (transparency log). Porojeke e ntse e ntshetswa pele tlasa tshehetso ya mokgatlo o sa etseng phaello wa Linux Foundation ka Google, Red Hat, Cisco, vmWare, GitHub le HP Enterprise ka seabo sa mokgatlo wa OpenSSF (Open Source Security Foundation) le Univesithi ya Purdue.
Sigstore e ka nkoa e le Let's Encrypt for code, e fana ka litifikeiti tsa ho saena khoutu ea dijithale le lisebelisoa tsa ho netefatsa netefatso. Ka Sigstore, bahlahisi ba ka saena lintho tsa khale tse amanang le ts'ebeliso joalo ka lifaele tsa tokollo, litšoantšo tsa setshelo, lipontšo, le tse ka etsoang. Boitsebiso bo saenneng bo bonahala tlalehong ea sechaba e ke keng ea senyeha e ka sebelisoang bakeng sa ho netefatsa le ho hlahloba.
Sebakeng sa linotlolo tsa ka ho sa feleng, Sigstore e sebelisa linotlolo tsa nakoana tsa ephemeral, tse hlahisoang ho ipapisitsoe le mangolo a netefalitsoeng ke bafani ba OpenID Connect (nakong ea ho hlahisa linotlolo tse hlokahalang ho theha signature ea dijithale, moqapi o itsebahatsa ka mofani oa OpenID ea amanang le imeile). Bonnete ba linotlolo bo netefatsoa ka ho sebelisa tlaleho ea sechaba e bohareng, e leng se etsang hore ho khonehe ho netefatsa hore mongoli oa saena ke eena eo a ipolelang hore ke eena, 'me ho saena ho entsoe ke morupeluoa ea tšoanang ea neng a ikarabella bakeng sa litokollo tse fetileng.
Boitokisetso ba Sigstore bakeng sa ts'ebetsong bo bakoa ke ho thehoa ha ho lokolloa ha likarolo tse peli tsa bohlokoa - Rekor 1.0 le Fulcio 1.0, li-interfaces tsa software tse boletsoeng li tsitsitse 'me li tla tsoelapele ho khutlela morao. Likarolo tsa ts'ebeletso li ngotsoe ho Go mme li ajoa tlasa laesense ea Apache 2.0.
Karolo ea Rekor e na le ts'ebetso ea log bakeng sa ho boloka metadata e saenneng ka dijithale e bonts'ang tlhahisoleseling mabapi le merero. Ho netefatsa botšepehi le ho sireletsa khahlanong le bobolu ba data ka mor'a 'nete, ho sebelisoa sebopeho sa sefate sa Merkle Tree, moo lekala le leng le le leng le netefatsang makala le li-node tsohle tse ka tlaase ka ho kopanya (sefate) hashing. Ho ba le hash ea ho qetela, mosebelisi a ka netefatsa ho nepahala ha nalane eohle ea ts'ebetso, hammoho le ho nepahala ha linaha tse fetileng tsa database (hash ea netefatso ea metso ea boemo bo bocha ba database e baloa ho nahanoa ka boemo bo fetileng. ). API ea RESTful e fanoa bakeng sa ho netefatsa le ho eketsa lirekoto tse ncha, hammoho le sebopeho sa mola oa taelo.
Karolo ea Fulcio (SigStore WebPKI) e kenyelletsa mokhoa oa ho theha balaoli ba setifikeiti (root CAs) ba fanang ka litifikeiti tsa nakoana tse thehiloeng ho lengolo-tsoibila le netefalitsoeng ka OpenID Connect. Nako ea bophelo ea setifikeiti ke metsotso ea 20, nakong eo mohlahlami a tlamehang ho ba le nako ea ho hlahisa signature ea dijithale (haeba setifikeiti hamorao se oela matsohong a mohlaseli, se tla be se felile). Ntle le moo, projeke e ntse e nts'etsapele lisebelisoa tsa Cosign (Container Signing), tse etselitsoeng ho hlahisa li-signature bakeng sa lijana, ho netefatsa li-signature le ho beha lijana tse saennoeng polokelong e tsamaellanang le OCI (Open Container Initiative).
Ts'ebetsong ea Sigstore e etsa hore ho khonehe ho eketsa ts'ireletso ea liteishene tsa kabo ea lenaneo le ho sireletsa khahlanong le litlhaselo tse reretsoeng ho kenya lilaebrari le litšepeho (ketane ea phepelo). E 'ngoe ea mathata a bohlokoa a ts'ireletso ho software ea mohloli o bulehileng ke bothata ba ho netefatsa mohloli oa lenaneo le ho netefatsa mokhoa oa ho haha. Ka mohlala, merero e mengata e sebelisa li-hashes ho netefatsa botšepehi ba tokollo, empa hangata boitsebiso bo hlokahalang bakeng sa ho netefatsa bo bolokoa tsamaisong e sa sireletsoeng le libakeng tsa polokelo ea khoutu e arolelanoang, ka lebaka leo bahlaseli ba ka senyang lifaele tse hlokahalang bakeng sa ho netefatsa le ho hlahisa liphetoho tse mpe. ntle le ho tsosa dipelaelo.
Tšebeliso ea li-signature tsa dijithale bakeng sa netefatso ea tokollo ha e so atolohe ka lebaka la mathata a ho laola linotlolo, ho aba linotlolo tsa sechaba, le ho hlakola linotlolo tse senyehileng. E le hore netefatso e utloahale, hoa hlokahala hape ho hlophisa ts'ebetso e tšepahalang le e sireletsehileng ea ho aba linotlolo tsa sechaba le li-checksum. Leha ho na le signature ea dijithale, basebelisi ba bangata ba iphapanyetsa netefatso hobane ba hloka ho qeta nako ba ithuta mokhoa oa ho netefatsa le ho utloisisa hore na senotlolo se tšepahalang ke sefe. Morero oa Sigstore o leka ho nolofatsa le ho iketsetsa lits'ebetso tsena ka ho fana ka tharollo e lokiselitsoeng le e netefalitsoeng.
Source: opennet.ru