Red Hat le Google, hammoho le Univesithi ea Purdue, ba thehile morero oa Sigstore, o reretsoeng ho theha lisebelisoa le lits'ebeletso bakeng sa ho netefatsa software ka ho sebelisa li-signature tsa dijithale le ho boloka tlaleho ea sechaba ho netefatsa bonnete ba 'nete (transparency log). Morero ona o tla ntlafatsoa tlas'a ts'ehetso ea mokhatlo o sa etseng phaello oa Linux Foundation.
Morero o reriloeng o tla ntlafatsa ts'ireletso ea likanale tsa kabo ea software le ho sireletsa khahlano le litlhaselo tse reretsoeng ho nkela likarolo tsa software sebaka le litšetleho (ketane ea phepelo). E 'ngoe ea mathata a bohlokoa a ts'ireletso ho software ea mohloli o bulehileng ke bothata ba ho netefatsa mohloli oa lenaneo le ho netefatsa mokhoa oa ho haha. Ka mohlala, merero e mengata e sebelisa li-hashes ho netefatsa botšepehi ba tokollo, empa hangata boitsebiso bo hlokahalang bakeng sa ho netefatsa bo bolokoa tsamaisong e sa sireletsoeng le libakeng tsa polokelo ea khoutu e arolelanoang, ka lebaka leo bahlaseli ba ka senyang lifaele tse hlokahalang bakeng sa ho netefatsa le ho hlahisa liphetoho tse mpe. ntle le ho tsosa dipelaelo.
Ke karolo e nyane feela ea merero e sebelisang li-signature tsa dijithale ha ho ajoa litokollo ka lebaka la mathata a ho laola linotlolo, ho aba linotlolo tsa sechaba, le ho hlakola linotlolo tse senyehileng. E le hore netefatso e be le moelelo, ho boetse hoa hlokahala ho hlophisa mokhoa o tšepahalang le o sireletsehileng oa ho aba linotlolo tsa sechaba le li-checksums. Leha ho na le signature ea dijithale, basebelisi ba bangata ba iphapanyetsa netefatso hobane ba hloka ho qeta nako ba ithuta ts'ebetso ea netefatso le ho utloisisa hore na senotlolo se tšepahalang ke sefe.
Sigstore e nkoa e lekana le Let's Encrypt bakeng sa khoutu, e fana ka litifikeiti tsa khoutu ea ho saena le lisebelisoa tsa ho netefatsa. Ka Sigstore, bahlahisi ba ka saena lintho tsa khale tse amanang le ts'ebeliso joalo ka lifaele tsa tokollo, litšoantšo tsa sets'oants'o, lipontšo le lits'ebetso. Tšobotsi e khethehileng ea Sigstore ke hore thepa e sebelisoang ho saena e bontšoa ka har'a tlaleho ea sechaba e nang le bopaki ba tamper-proof e ka sebelisetsoang ho netefatsa le ho hlahloba.
Sebakeng sa linotlolo tsa ka ho sa feleng, Sigstore e sebelisa linotlolo tsa nakoana tsa ephemeral, tse hlahisoang ho latela lintlha tse netefalitsoeng ke bafani ba OpenID Connect (ka nako ea ho hlahisa linotlolo bakeng sa signature ea dijithale, mohlahlami o itsebahatsa ka mofani oa OpenID ea amanang le lengolo-tsoibila). Botšepehi ba linotlolo bo netefatsoa ho sebelisoa log e bohareng ba sechaba, e leng se etsang hore ho khonehe ho netefatsa hore mongoli oa saena ke mang ea ipolelang hore ke eena 'me ho saena ho thehiloe ke morupeluoa ea tšoanang ea neng a ikarabella bakeng sa litokollo tse fetileng.
Sigstore e fana ka litšebeletso tse seng li entsoe tseo u seng u ntse u ka li sebelisa, le lisebelisoa tse u lumellang hore u sebelise litšebeletso tse tšoanang ho lisebelisoa tsa hau. Ts'ebeletso ke mahala bakeng sa bahlahisi bohle le bafani ba mananeo, 'me e sebelisoa sethaleng se sa nke lehlakore - Linux Foundation. Likarolo tsohle tsa ts'ebeletso ke mohloli o bulehileng, o ngotsoeng ho Go mme o abuoa tlasa laesense ea Apache 2.0.
Har'a likarolo tse ntlafalitsoeng re ka hlokomela:
- Rekor ke ts'ebetsong ea log bakeng sa ho boloka metadata e saenneng ka mokhoa oa dijithale e bonts'ang tlhahisoleseling mabapi le merero. Ho netefatsa botšepehi le ho sireletsa khahlanong le bobolu ba data ka mor'a 'nete, ho sebelisoa mohaho o kang oa sefate "Merkle Tree", moo lekala le leng le le leng le netefatsang makala le li-node tsohle tse ka tlaase, ka lebaka la hashing e kopanetsoeng (e kang sefate). Ho ba le hash ea ho qetela, mosebelisi a ka netefatsa ho nepahala ha nalane eohle ea ts'ebetso, hammoho le ho nepahala ha linaha tse fetileng tsa database (hash ea netefatso ea metso ea boemo bo bocha ba database e baloa ho nahanoa ka boemo bo fetileng. ). Ho netefatsa le ho eketsa lirekoto tse ncha, ho fanoa ka Restful API, hammoho le sebopeho sa cli.
- Fulcio (SigStore WebPKI) ke sistimi ea ho theha balaoli ba setifikeiti (Root-CAs) ba fanang ka litifikeiti tsa nakoana tse thehiloeng ho lengolo-tsoibila le netefalitsoeng ka OpenID Connect. Nako ea bophelo ea setifikeiti ke metsotso ea 20, nakong eo mohlahlami a tlamehang ho ba le nako ea ho hlahisa signature ea dijithale (haeba setifikeiti hamorao se oela matsohong a mohlaseli, se tla be se felile).
- Сosign (Container Signing) ke sesebelisoa sa ho hlahisa li-signature bakeng sa lijana, ho netefatsa lisaeno le ho beha lijana tse saennoeng ka har'a polokelo tse tsamaellanang le OCI (Open Container Initiative).
Source: opennet.ru