Red Hat le Google, hammoho le Purdue University, ba thehile projeke ea Sigstore, e ikemiselitseng ho theha lisebelisoa le lits'ebeletso bakeng sa netefatso ea software ho sebelisoa lipontšo tsa dijithale le ho boloka tlaleho ea ponaletso ea sechaba. Projeke ena e tla nts'etsopele tlas'a thuso ea mokhatlo o seng oa phaello. Linux Motheo.
Morero o sisintsoeng o tla ntlafatsa ts'ireletso ea likanale tsa kabo ea software le ho sireletsa khahlano le litlhaselo tse reretsoeng ho nkela likarolo tsa software sebaka le litšetleho (ketane ea phepelo). E 'ngoe ea lintlha tsa bohlokoa tsa ts'ireletso ho software ea mohloli o bulehileng ke bothata ba ho netefatsa mohloli oa lenaneo le ho netefatsa ts'ebetso ea kaho. Ka mohlala, merero e mengata e sebelisa li-hashes ho netefatsa botšepehi ba tokollo, empa tlhahisoleseding e hlokahalang bakeng sa ho netefatsa hangata e bolokiloe tsamaisong e sa sireletsoeng le libakeng tsa polokelo ea khoutu e arolelanoang. Ka ho sekisetsa tsena, bahlaseli ba ka nka sebaka sa lifaele tse hlokehang bakeng sa netefatso le ho hlahisa liphetoho tse mpe ntle le ho tsosa lipelaelo.
Ke merero e fokolang feela e sebelisang li-signature tsa dijithale ha ho ajoa litokollo ka lebaka la mathata a taolo ea mantlha, kabo ea linotlolo tsa sechaba, le ho hlakoloa ha linotlolo tse senyehileng. E le hore netefatso e be le moelelo, mokhoa o tšepahalang le o sireletsehileng oa ho aba linotlolo tsa sechaba le li-checksums le tsona lia hlokahala. Leha ho na le li-signature tsa dijithale, basebelisi ba bangata ba iphapanyetsa netefatso hobane ho hloka nako ho utloisisa ts'ebetso ea netefatso le ho utloisisa hore na ke linotlolo life tse tšepahalang.
Sigstore e hlahisoa e le mofuta o mong oa Let's Encrypt bakeng sa khoutu, e fana ka litifikeiti tsa khoutu ea ho saena ka dijithale le lisebelisoa tsa netefatso ea boiketsetso. Ka ho sebelisa Sigstore, bahlahisi ba ka hlahisa li-signature tsa dijithale bakeng sa lisebelisoa tse amanang le ts'ebeliso, joalo ka lifaele tsa tokollo, litšoantšo tsa setshelo, lipontšo le lintho tse ka etsoang. Tšobotsi e ikhethang ea Sigstore ke hore thepa e sebelisoang bakeng sa ho saena e ngotsoe ka har'a tlaleho ea sechaba e nang le bopaki ba tamper-proof, e ka sebelisetsoang ho netefatsa le ho hlahloba.
Sebakeng sa linotlolo tsa ka ho sa feleng, Sigstore e sebelisa linotlolo tsa nako e khuts'oane tsa ephemeral tse hlahisitsoeng ho latela lintlha tse netefalitsoeng ke bafani ba OpenID Connect (nakong ea tlhahiso ea senotlolo sa dijithale, mohlahlami o inetefatsa ka mofani oa OpenID ea hokahaneng le aterese ea lengolo-tsoibila). Bonnete ba linotlolo bo tiisitsoe khahlanong le tlaleho ea sechaba, e bohareng, e tiisang hore mongoli oa saena ke mang eo ba ipolelang hore ke eena le hore ho saena ho entsoe ke monkakarolo ea tšoanang ea ikarabellang bakeng sa litokollo tse fetileng.
Sigstore e fana ka tšebeletso e loketseng ho sebelisoa le sete ea lisebelisoa tsa ho kenya lits'ebeletso tse tšoanang ho hardware ea hau. Tšebeletso ena ke mahala bakeng sa bahlahisi bohle le bafani ba software 'me e sebelisoa sethaleng se sa nke lehlakore. Linux Motheo. Likarolo tsohle tsa tšebeletso ke tsa mohloli o bulehileng, li ngotsoe ka Go, 'me li ajoa tlas'a laesense ea Apache 2.0.
Har'a likarolo tse ntseng li ntlafatsoa, tse latelang li ka hlokomeloa:
- Rekor ke ts'ebetsong ea log bakeng sa ho boloka metadata e saenneng ka dijithale e bonts'ang tlhahisoleseling ea morero. Ho netefatsa botšepehi ba data le tšireletso khahlanong le bobolu ba morao-rao, ho sebelisoa sebopeho sa Merkle Tree, moo lekala le leng le le leng le netefatsang makala le li-node tsohle tse ka tlas'a lefatše ka hashing e arolelanoang (e kang sefate). Ka hash ea ho qetela, mosebelisi a ka netefatsa ho nepahala ha nalane eohle ea transaction, hammoho le ho nepahala ha linaha tsa database tse fetileng (hash ea netefatso ea metso ea boemo bo bocha ba database e baloa ho nahanoa ka boemo bo fetileng). API e Restful le sebopeho sa CLI li fanoa bakeng sa ho netefatsa le ho eketsa lirekoto tse ncha.
- Fulcio (SigStore WebPKI) ke sistimi ea ho theha balaoli ba setifikeiti (Root CAs) ba fanang ka litifikeiti tsa nakoana tse thehiloeng ho liaterese tsa lengolo-tsoibila tse netefalitsoeng ka OpenID Connect. Setifikeiti se na le nako ea bophelo ba metsotso e 20, moo mohlahlami a tlamehang ho hlahisa tekeno ea dijithale (haeba setifikeiti se oela matsohong a mohlaseli, se tla felloa ke nako).
- Cosign (Container Signing) ke sesebelisoa sa ho hlahisa li-signature tsa setshelo, ho netefatsa li-signature, le ho beha lijana tse saennoeng ka har'a polokelo e lumellanang ea OCI (Open Container Initiative).
Source: opennet.ru
