Red Hat sareng Google, sareng Universitas Purdue, ngadegkeun proyék Sigstore, tujuanana pikeun nyiptakeun alat sareng jasa pikeun pariksa parangkat lunak nganggo tanda tangan digital sareng ngajaga log umum pikeun mastikeun kaaslian (log transparansi). Proyék éta bakal dikembangkeun dina naungan organisasi nirlaba Linux Foundation.
Proyék anu diusulkeun bakal ningkatkeun kaamanan saluran distribusi parangkat lunak sareng ngajagi tina serangan anu ditujukeun pikeun ngagentos komponén parangkat lunak sareng dependensi (ranté suplai). Salah sahiji masalah kaamanan konci dina parangkat lunak open source nyaéta kasusah pikeun pariksa sumber program sareng pariksa prosés ngawangun. Salaku conto, kalolobaan proyék nganggo hashes pikeun pariksa integritas sékrési, tapi sering inpormasi anu dipikabutuh pikeun auténtikasi disimpen dina sistem anu teu dijagi sareng dina repositori kode anu dibagikeun, akibatna panyerang tiasa kompromi file anu dipikabutuh pikeun verifikasi sareng ngenalkeun perobahan jahat. tanpa raising kacurigaan.
Ngan sabagéan leutik proyék ngagunakeun tanda tangan digital nalika nyebarkeun sékrési kusabab kasusah dina ngatur konci, nyebarkeun konci umum, sareng nyabut konci anu dikompromi. Supados verifikasi masuk akal, éta ogé perlu pikeun ngatur prosés anu dipercaya sareng aman pikeun nyebarkeun konci umum sareng checksum. Sanaos ku tanda tangan digital, seueur pangguna anu teu malire verifikasi sabab kedah nyéépkeun waktos diajar prosés verifikasi sareng ngartos konci mana anu dipercaya.
Sigstore disebut-sebut sarimbag sareng Let's Encrypt pikeun kode, nyayogikeun sertipikat pikeun kode nandatanganan digital sareng alat pikeun ngotomatisasi verifikasi. Kalayan Sigstore, pamekar tiasa nandatanganan sacara digital artifak anu aya hubunganana sareng aplikasi sapertos file pelepasan, gambar wadahna, manifes, sareng executable. A fitur husus tina Sigstore nyaéta yén bahan dipaké pikeun Signing ieu reflected dina log publik tamper-bukti anu bisa dipaké pikeun verifikasi jeung auditing.
Gantina konci permanén, Sigstore ngagunakeun konci ephemeral pondok-cicing, nu dihasilkeun dumasar kana Kapercayaan dikonfirmasi ku panyadia OpenID Connect (dina waktu generating konci pikeun signature digital, pamekar ngaidentipikasi dirina ngaliwatan panyadia OpenID numbu ka surelek). Kaaslian konci diverifikasi nganggo log terpusat umum, anu ngamungkinkeun pikeun pariksa yén panulis tandatangan leres-leres anu anjeunna ngaku sareng tandatangan dibentuk ku pamilon anu sami anu tanggung jawab pikeun sékrési anu katukang.
Sigstore nyayogikeun jasa anu siap-siap anu anjeun tiasa dianggo, sareng sakumpulan alat anu ngamungkinkeun anjeun nyebarkeun jasa anu sami dina alat anjeun nyalira. Ladenan éta gratis pikeun sadaya pamekar sareng panyadia parangkat lunak, sareng disebarkeun dina platform nétral - Yayasan Linux. Sadaya komponén jasa mangrupikeun sumber terbuka, ditulis dina Go sareng disebarkeun dina lisénsi Apache 2.0.
Di antara komponén anu dikembangkeun urang tiasa perhatikeun:
- Rekor mangrupikeun palaksanaan log pikeun nyimpen metadata anu ditandatanganan sacara digital anu ngagambarkeun inpormasi ngeunaan proyék. Pikeun mastikeun integritas sareng ngajagaan tina korupsi data saatos kanyataan, struktur sapertos tangkal "Merkle Tangkal" dianggo, dimana unggal cabang marios sadaya cabang sareng titik anu aya, hatur nuhun kana gabungan (kawas tangkal) hashing. Ngabogaan hash final, pamaké bisa pariksa correctness tina sakabéh sajarah operasi, kitu ogé correctness tina kaayaan kaliwat tina database (hash verifikasi root tina kaayaan anyar database diitung dumasar kana kaayaan kaliwat. ). Pikeun pariksa sareng nambihan rékaman énggal, API Restful disayogikeun, ogé antarmuka cli.
- Fulcio (SigStore WebPKI) nyaéta sistem pikeun nyieun otoritas sertifikasi (Root-CAs) nu ngaluarkeun sertipikat pondok-cicing dumasar kana email dioténtikasi via OpenID Connect. Umur sertipikat nyaéta 20 menit, nalika pamekar kedah gaduh waktos pikeun ngahasilkeun tanda tangan digital (upami sertipikat éta engkéna ditangan panyerang, éta bakal kadaluwarsa).
- Сosign (Container Signing) mangrupikeun toolkit pikeun ngahasilkeun tanda tangan pikeun wadah, pariksa tanda tangan sareng nempatkeun wadah anu ditandatanganan dina repositori anu cocog sareng OCI (Open Container Initiative).
sumber: opennet.ru