Red Hat ва Google дар якҷоягӣ бо Донишгоҳи Пурдю лоиҳаи Sigstore-ро таъсис доданд, ки ҳадафи он эҷоди абзорҳо ва хидматҳо барои санҷиши нармафзор бо истифода аз имзоҳои рақамӣ ва нигоҳ доштани сабти оммавӣ барои тасдиқи ҳаққоният (журналҳои шаффофият). Лоиҳа таҳти сарпарастии ташкилоти ғайритиҷоратии Linux Foundation таҳия карда мешавад.
Лоиҳаи пешниҳодшуда амнияти каналҳои паҳнкунии нармафзорро беҳтар мекунад ва аз ҳамлаҳо, ки ба иваз кардани ҷузъҳои нармафзор ва вобастагӣ (занҷири таъминот) нигаронида шудааст, муҳофизат мекунад. Яке аз мушкилоти асосии амниятӣ дар нармафзори кушодаасос ин мушкилии тафтиши манбаи барнома ва тафтиши раванди сохтани он мебошад. Масалан, аксари лоиҳаҳо барои тасдиқи якпорчагии релиз хэшҳоро истифода мебаранд, аммо аксар вақт иттилооти барои аутентификатсия зарурӣ дар системаҳои муҳофизатнашуда ва дар анбори кодҳои муштарак нигоҳ дошта мешавад, ки дар натиҷа ҳамлагарон метавонанд файлҳои барои тафтиш заруриро вайрон кунанд ва тағйироти зараровар ворид кунанд. бе шубҳа.
Танҳо як қисми ками лоиҳаҳо аз имзои рақамӣ ҳангоми паҳн кардани релизҳо аз сабаби мушкилоти идоракунии калидҳо, паҳн кардани калидҳои оммавӣ ва бозхонди калидҳои вайроншуда истифода мебаранд. Барои он ки санҷиш маъно дошта бошад, инчунин ташкили раванди боэътимод ва бехатар барои паҳн кардани калидҳои ҷамъиятӣ ва маблағҳои чек зарур аст. Ҳатто бо имзои рақамӣ, бисёр корбарон тафтишро сарфи назар мекунанд, зеро онҳо бояд барои омӯзиши раванди санҷиш ва фаҳмидани он ки кадом калид эътимоднок аст, вақт сарф кунанд.
Sigstore ҳамчун муодили Let's Encrypt барои код ном бурда мешавад, ки сертификатҳоро барои имзои рақамии код ва асбобҳо барои автоматикунонии санҷиш таъмин мекунад. Бо Sigstore, таҳиягарон метавонанд ба артефактҳои марбут ба барнома ба монанди файлҳои релиз, тасвирҳои контейнерӣ, манифестҳо ва файлҳои иҷрошаванда ба таври рақамӣ имзо гузоранд. Хусусияти вижаи Sigstore дар он аст, ки маводе, ки барои имзо истифода мешавад, дар як сабти оммавӣ, ки метавонад барои тафтиш ва аудит истифода шавад, инъикос карда мешавад.
Ба ҷои калидҳои доимӣ, Sigstore калидҳои кӯтоҳмуддати эфемериро истифода мебарад, ки дар асоси маълумотҳои тасдиқшуда аз ҷониби провайдерҳои OpenID Connect тавлид мешаванд (дар вақти тавлиди калидҳо барои имзои рақамӣ, таҳиякунанда худро тавассути провайдери OpenID, ки ба почтаи электронӣ алоқаманд аст) муайян мекунад. Ҳақиқати калидҳо бо истифода аз як журнали мутамаркази ҷамъиятӣ тасдиқ карда мешавад, ки имкон медиҳад, ки муаллифи имзо маҳз кӣ будани худро тасдиқ мекунад ва имзо аз ҷониби ҳамон иштирокчӣ, ки барои нашрҳои гузашта масъул буд, сохта шудааст.
Sigstore ҳам як хидмати тайёреро, ки шумо аллакай истифода карда метавонед, ва маҷмӯи асбобҳоеро пешкаш мекунад, ки ба шумо имкон медиҳанд, ки хидматҳои шабеҳро дар таҷҳизоти худ ҷойгир кунед. Ин хидмат барои ҳама таҳиягарон ва провайдерҳои нармафзор ройгон аст ва дар платформаи бетараф - Linux Foundation ҷойгир карда шудааст. Ҳама ҷузъҳои хидмат манбаи кушода буда, дар Go навишта шудаанд ва таҳти иҷозатномаи Apache 2.0 паҳн карда мешаванд.
Дар байни ҷузъҳои таҳияшуда мо метавонем қайд кунем:
- Rekor татбиқи сабт барои нигоҳ доштани метамаълумоти рақамӣ, ки маълумот дар бораи лоиҳаҳоро инъикос мекунад, мебошад. Барои таъмини якпорчагӣ ва муҳофизат аз фасоди ретроспективии додаҳо, сохтори дарахти Merkle Tree истифода мешавад, ки дар он ҳар як шоха ба шарофати хэшинги муштарак (ба монанди дарахт) ҳамаи шохаҳо ва гиреҳҳои асосиро тафтиш мекунад. Бо доштани хэши ниҳоӣ, корбар метавонад дурустии тамоми таърихи амалиёт, инчунин дурустии ҳолати гузаштаи пойгоҳи додаҳоро тафтиш кунад (хэши санҷиши решаи ҳолати нави пойгоҳи додаҳо бо назардошти ҳолати гузашта ҳисоб карда мешавад. ). Барои тасдиқ ва илова кардани сабтҳои нав, API Restful ва инчунин интерфейси cli таъмин карда шудааст.
- Fulcio (SigStore WebPKI) як система барои таъсиси мақомоти сертификатсия (Root-CAs) мебошад, ки сертификатҳои кӯтоҳмуддатро дар асоси почтаи электронӣ тавассути OpenID Connect тасдиқ мекунанд. Мӯҳлати амали сертификат 20 дақиқа аст, ки дар давоми он таҳиякунанда бояд барои тавлиди имзои рақамӣ вақт дошта бошад (агар сертификат дертар ба дасти ҳамлагар афтад, мӯҳлати он аллакай тамом мешавад).
- Сosign (Container Signing) як абзорест барои тавлиди имзоҳо барои контейнерҳо, тасдиқи имзоҳо ва ҷойгир кардани контейнерҳои имзошуда дар анборҳои мувофиқ бо OCI (Initiative Container Open).
Манбаъ: opennet.ru