Google ilitangaza kutolewa kwa mara ya kwanza kwa vipengele vinavyounda mradi wa Sigstore, ambao umetangazwa kuwa tayari kwa ajili ya uzalishaji. Sigstore inaendeleza zana na huduma za uthibitishaji wa programu kwa kutumia sahihi za kidijitali na kudumisha kumbukumbu ya umma inayothibitisha uhalisia wa mabadiliko (kumbukumbu ya uwazi). Mradi huo unaendelezwa chini ya usimamizi wa shirika lisilo la faida. Linux Wakfu na Google, Red Hat, Cisco, vmWare, GitHub, na HP Enterprise, pamoja na ushiriki kutoka Wakfu wa Usalama wa Chanzo Huria (OpenSSF) na Chuo Kikuu cha Purdue.
Sigstore inaweza kuzingatiwa kama Hebu Tusimbe kwa msimbo, ikitoa vyeti vya kusaini nambari kidijitali na zana za kufanyia uthibitishaji kiotomatiki. Kwa kutumia Sigstore, wasanidi programu wanaweza kusaini kidigitali vizalia vya programu vinavyohusiana na programu kama vile faili za kutolewa, picha za kontena, faili za maelezo na vitekelezo. Nyenzo ya sahihi inaonekana katika kumbukumbu ya umma isiyoweza kuchezewa ambayo inaweza kutumika kwa uthibitishaji na ukaguzi.
Badala ya funguo za kudumu, Sigstore hutumia funguo za muda mfupi za muda mfupi, ambazo hutolewa kulingana na vitambulisho vilivyothibitishwa na watoa huduma wa OpenID Connect (wakati wa kuzalisha funguo muhimu ili kuunda sahihi ya dijiti, msanidi programu anajitambulisha kupitia mtoa huduma wa OpenID aliyeunganishwa na barua pepe). Ukweli wa funguo unathibitishwa kwa kutumia logi ya kati ya umma, ambayo inafanya uwezekano wa kuthibitisha kwamba mwandishi wa saini ni nani hasa anadai kuwa, na saini ilitolewa na mshiriki sawa ambaye alihusika na matoleo ya zamani.
Utayari wa Sigstore kwa utekelezaji unatokana na uundaji wa matoleo ya vipengele viwili muhimu - Rekor 1.0 na Fulcio 1.0, interfaces za programu ambazo zinatangazwa kuwa imara na zitaendelea kuwa nyuma sambamba. Vipengele vya huduma vimeandikwa katika Go na kusambazwa chini ya leseni ya Apache 2.0.
Kipengele cha Rekor kina utekelezaji wa kumbukumbu wa kuhifadhi metadata iliyosainiwa kidijitali inayoangazia taarifa kuhusu miradi. Ili kuhakikisha uadilifu na kulinda dhidi ya ufisadi wa data baada ya ukweli, muundo wa mti wa Merkle Tree hutumiwa, ambapo kila tawi huthibitisha matawi na nodi zote za msingi kupitia hashing ya pamoja (ya mti). Kuwa na hashi ya mwisho, mtumiaji anaweza kuthibitisha usahihi wa historia nzima ya shughuli, pamoja na usahihi wa majimbo ya zamani ya hifadhidata (hashi ya uthibitishaji wa mizizi ya hali mpya ya hifadhidata imehesabiwa kwa kuzingatia hali ya zamani. ) API RESTful hutolewa kwa uthibitishaji na kuongeza rekodi mpya, pamoja na kiolesura cha mstari wa amri.
Kipengele cha Fulcio (SigStore WebPKI) kinajumuisha mfumo wa kuunda mamlaka ya uidhinishaji (root CAs) ambayo hutoa vyeti vya muda mfupi kulingana na barua pepe iliyoidhinishwa kupitia OpenID Connect. Muda wa maisha wa cheti ni dakika 20, ambapo msanidi lazima awe na wakati wa kuunda saini ya dijiti (ikiwa cheti kitaangukia mikononi mwa mshambulizi baadaye, muda wake utakuwa tayari umekwisha). Zaidi ya hayo, mradi unatengeneza zana ya zana ya Cosign (Kusaini Kontena), iliyoundwa ili kutoa saini za kontena, kuthibitisha saini na kuweka kontena zilizotiwa saini katika hazina zinazoendana na OCI (Open Container Initiative).
Utekelezaji wa Sigstore hufanya iwezekanavyo kuongeza usalama wa njia za usambazaji wa programu na kulinda dhidi ya mashambulizi yenye lengo la kubadilisha maktaba na utegemezi (mlolongo wa ugavi). Moja ya matatizo muhimu ya usalama katika programu huria ni ugumu wa kuthibitisha chanzo cha programu na kuthibitisha mchakato wa kujenga. Kwa mfano, miradi mingi hutumia heshi kuthibitisha uadilifu wa toleo, lakini mara nyingi taarifa zinazohitajika kwa uthibitishaji huhifadhiwa kwenye mifumo isiyolindwa na katika hifadhi za msimbo zinazoshirikiwa, kwa sababu hiyo washambuliaji wanaweza kuhatarisha faili zinazohitajika kwa uthibitishaji na kuanzisha mabadiliko mabaya. bila kuibua tuhuma.
Utumiaji wa sahihi za kidijitali kwa uthibitishaji wa toleo bado haujaenea kwa sababu ya ugumu wa kudhibiti funguo, kusambaza funguo za umma, na kubatilisha funguo zilizoathiriwa. Ili uthibitishaji uwe na maana, ni muhimu pia kuandaa mchakato wa kuaminika na salama wa kusambaza funguo za umma na hundi. Hata kwa sahihi ya dijitali, watumiaji wengi hupuuza uthibitishaji kwa sababu wanahitaji kutumia muda kujifunza mchakato wa uthibitishaji na kuelewa ni ufunguo gani unaoaminika. Mradi wa Sigstore unajaribu kurahisisha na kubinafsisha michakato hii kwa kutoa suluhisho tayari na kuthibitishwa.
Chanzo: opennet.ru
