Red Hat na Google, pamoja na Chuo Kikuu cha Purdue, walianzisha mradi wa Sigstore, unaolenga kuunda zana na huduma za kuthibitisha programu kwa kutumia sahihi za dijitali na kudumisha kumbukumbu ya umma ili kuthibitisha uhalisi (logi ya uwazi). Mradi huo utaendelezwa chini ya ufadhili wa shirika lisilo la faida la Linux Foundation.
Mradi uliopendekezwa utaboresha usalama wa njia za usambazaji wa programu na kulinda dhidi ya mashambulizi yenye lengo la kuchukua nafasi ya vipengele vya programu na tegemezi (msururu wa ugavi). Moja ya matatizo muhimu ya usalama katika programu huria ni ugumu wa kuthibitisha chanzo cha programu na kuthibitisha mchakato wa kujenga. Kwa mfano, miradi mingi hutumia heshi kuthibitisha uadilifu wa toleo, lakini mara nyingi taarifa zinazohitajika kwa uthibitishaji huhifadhiwa kwenye mifumo isiyolindwa na katika hifadhi za msimbo zinazoshirikiwa, kwa sababu hiyo washambuliaji wanaweza kuhatarisha faili zinazohitajika kwa uthibitishaji na kuanzisha mabadiliko mabaya. bila kuibua tuhuma.
Ni sehemu ndogo tu ya miradi inayotumia sahihi za dijitali wakati wa kusambaza matoleo kwa sababu ya ugumu wa kudhibiti funguo, kusambaza funguo za umma na kubatilisha funguo zilizoathiriwa. Ili uthibitishaji uwe na maana, ni muhimu pia kuandaa mchakato wa kuaminika na salama wa kusambaza funguo za umma na hundi. Hata kwa sahihi ya dijiti, watumiaji wengi hupuuza uthibitishaji kwa sababu wanahitaji kutumia muda kusoma mchakato wa uthibitishaji na kuelewa ni ufunguo gani unaoaminika.
Sigstore inatajwa kuwa ni sawa na Hebu Tusimba kwa msimbo, ikitoa vyeti vya msimbo wa kutia sahihi kidijitali na zana za uthibitishaji kiotomatiki. Kwa kutumia Sigstore, wasanidi programu wanaweza kusaini kidigitali vizalia vya programu vinavyohusiana na programu kama vile faili za kutoa, picha za kontena, faili za maelezo na vitekelezo. Kipengele maalum cha Sigstore ni kwamba nyenzo zinazotumiwa kutia saini zinaonyeshwa kwenye kumbukumbu ya umma isiyoweza kuchezewa ambayo inaweza kutumika kwa uthibitishaji na ukaguzi.
Badala ya funguo za kudumu, Sigstore hutumia funguo za muda mfupi za ephemeral, ambazo hutolewa kulingana na vitambulisho vilivyothibitishwa na watoa huduma wa OpenID Connect (wakati wa kuzalisha funguo za sahihi ya dijiti, msanidi hujitambulisha kupitia mtoa huduma wa OpenID aliyeunganishwa na barua pepe). Ukweli wa funguo unathibitishwa kwa kutumia logi ya kati ya umma, ambayo inafanya uwezekano wa kuthibitisha kwamba mwandishi wa saini ni nani hasa anadai kuwa na saini iliundwa na mshiriki sawa ambaye alihusika na matoleo ya zamani.
Sigstore hutoa huduma iliyotengenezwa tayari ambayo unaweza kutumia, na seti ya zana zinazokuruhusu kupeleka huduma zinazofanana kwenye vifaa vyako mwenyewe. Huduma hii ni ya bure kwa watengenezaji na watoa programu wote, na inatumwa kwenye jukwaa lisiloegemea upande wowote - Linux Foundation. Vipengele vyote vya huduma ni chanzo wazi, kilichoandikwa katika Go na kusambazwa chini ya leseni ya Apache 2.0.
Miongoni mwa vipengele vilivyotengenezwa tunaweza kutambua:
- Rekor ni utekelezaji wa kumbukumbu wa kuhifadhi metadata iliyotiwa saini kidijitali inayoangazia maelezo kuhusu miradi. Ili kuhakikisha uadilifu na kulinda dhidi ya upotovu wa data baada ya ukweli, muundo unaofanana na mti "Merkle Tree" hutumiwa, ambapo kila tawi huthibitisha matawi na nodi zote za msingi, shukrani kwa hashing ya pamoja (kama mti). Kuwa na hashi ya mwisho, mtumiaji anaweza kuthibitisha usahihi wa historia nzima ya shughuli, pamoja na usahihi wa majimbo ya zamani ya hifadhidata (hashi ya uthibitishaji wa mizizi ya hali mpya ya hifadhidata imehesabiwa kwa kuzingatia hali ya zamani. ) Ili kuthibitisha na kuongeza rekodi mpya, API ya Restful imetolewa, pamoja na kiolesura cha cli.
- Fulcio (SigStore WebPKI) ni mfumo wa kuunda mamlaka ya uthibitishaji (Root-CAs) ambayo hutoa vyeti vya muda mfupi kulingana na barua pepe iliyoidhinishwa kupitia OpenID Connect. Muda wa maisha wa cheti ni dakika 20, ambapo msanidi lazima awe na wakati wa kuunda saini ya dijiti (ikiwa cheti kitaangukia mikononi mwa mshambulizi baadaye, muda wake utakuwa tayari umekwisha).
- Π‘osign (Kutia Sahihi kwa Kontena) ni zana ya kutengeneza saini za kontena, kuthibitisha saini na kuweka kontena zilizotiwa saini kwenye hazina zinazoendana na OCI (Open Container Initiative).
Chanzo: opennet.ru