Red Hat va Google Purdue universiteti bilan birgalikda raqamli imzolardan foydalangan holda dasturiy ta'minotni tekshirish uchun vositalar va xizmatlarni yaratish va haqiqiyligini (shaffoflik jurnali) tasdiqlash uchun ommaviy jurnalni yuritishga qaratilgan Sigstore loyihasini asos solgan. Loyiha Linux Foundation notijorat tashkiloti homiyligida ishlab chiqiladi.
Taklif etilayotgan loyiha dasturiy ta'minotni tarqatish kanallari xavfsizligini yaxshilaydi va dasturiy ta'minot komponentlari va bog'liqliklarini (ta'minot zanjiri) almashtirishga qaratilgan hujumlardan himoya qiladi. Ochiq kodli dasturiy ta'minotdagi asosiy xavfsizlik muammolaridan biri bu dastur manbasini tekshirish va qurish jarayonini tekshirish qiyinligi. Misol uchun, aksariyat loyihalar nashrning yaxlitligini tekshirish uchun xeshlardan foydalanadi, lekin ko'pincha autentifikatsiya uchun zarur bo'lgan ma'lumotlar himoyalanmagan tizimlarda va umumiy kod omborlarida saqlanadi, buning natijasida tajovuzkorlar tekshirish uchun zarur bo'lgan fayllarni buzishi va zararli o'zgarishlar kiritishi mumkin. shubha uyg'otmasdan.
Kalitlarni boshqarish, ochiq kalitlarni tarqatish va buzilgan kalitlarni bekor qilishdagi qiyinchiliklar tufayli nashrlarni tarqatishda loyihalarning kichik bir qismi raqamli imzolardan foydalanadi. Tekshirish mantiqiy bo'lishi uchun ochiq kalitlar va nazorat summalarini tarqatish uchun ishonchli va xavfsiz jarayonni tashkil qilish kerak. Raqamli imzo bilan ham, ko'p foydalanuvchilar tekshirishni e'tiborsiz qoldiradilar, chunki ular tekshirish jarayonini o'rganish va qaysi kalit ishonchli ekanligini tushunish uchun vaqt sarflashlari kerak.
Sigstore kodni raqamli imzolash uchun sertifikatlar va tekshirishni avtomatlashtirish vositalarini taqdim etuvchi Let's Encrypt kodining ekvivalenti sifatida e'tirof etiladi. Sigstore yordamida ishlab chiquvchilar reliz fayllari, konteyner tasvirlari, manifestlar va bajariladigan fayllar kabi ilovaga tegishli artefaktlarga raqamli imzo qoΚ»yishlari mumkin. Sigstore-ning o'ziga xos xususiyati shundan iboratki, imzolash uchun ishlatiladigan material tekshirish va tekshirish uchun ishlatilishi mumkin bo'lgan o'zgartirishga qarshi ochiq jurnalda aks ettirilgan.
Doimiy kalitlar o'rniga Sigstore qisqa muddatli efemer kalitlardan foydalanadi, ular OpenID Connect provayderlari tomonidan tasdiqlangan hisobga olish ma'lumotlari asosida ishlab chiqariladi (raqamli imzo kalitlarini yaratish vaqtida ishlab chiquvchi elektron pochtaga bog'langan OpenID provayderi orqali o'zini identifikatsiya qiladi). Kalitlarning haqiqiyligi ommaviy markazlashtirilgan jurnal yordamida tekshiriladi, bu imzo muallifi aynan kim ekanligini va imzo o'tgan nashrlar uchun mas'ul bo'lgan ishtirokchi tomonidan tuzilganligini tekshirishga imkon beradi.
Sigstore siz allaqachon foydalanishingiz mumkin bo'lgan tayyor xizmatni va shunga o'xshash xizmatlarni o'z uskunangizda joylashtirish imkonini beruvchi vositalar to'plamini taqdim etadi. Xizmat barcha ishlab chiquvchilar va dasturiy ta'minot provayderlari uchun bepul va neytral platformada - Linux Foundationda joylashtirilgan. Xizmatning barcha komponentlari ochiq manba bo'lib, Go'da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
Ishlab chiqilgan komponentlar orasida quyidagilarni ta'kidlashimiz mumkin:
- Rekor - bu loyihalar haqidagi ma'lumotlarni aks ettiruvchi raqamli imzolangan metama'lumotlarni saqlash uchun jurnalni amalga oshirish. Yaxlitlikni ta'minlash va ma'lumotlarning buzilishidan himoya qilish uchun "Merkle Tree" daraxtga o'xshash tuzilmasi qo'llaniladi, unda har bir filial qo'shma (daraxtga o'xshash) xeshlash tufayli barcha asosiy novdalar va tugunlarni tekshiradi. Yakuniy xeshga ega bo'lgan holda, foydalanuvchi butun operatsiyalar tarixining to'g'riligini, shuningdek ma'lumotlar bazasining o'tgan holatlarining to'g'riligini tekshirishi mumkin (ma'lumotlar bazasining yangi holatining ildizni tekshirish xeshi o'tgan holatni hisobga olgan holda hisoblanadi. ). Yangi yozuvlarni tekshirish va qo'shish uchun Restful API, shuningdek, cli interfeysi taqdim etiladi.
- Fulcio (SigStore WebPKI) bu OpenID Connect orqali autentifikatsiya qilingan elektron pochta xabarlari asosida qisqa muddatli sertifikatlar chiqaradigan sertifikatlashtirish organlarini (Root-CA) yaratish tizimidir. Sertifikatning ishlash muddati 20 daqiqani tashkil qiladi, bu vaqt ichida ishlab chiquvchi elektron raqamli imzoni yaratishga ulgurishi kerak (agar sertifikat keyinchalik tajovuzkor qoΚ»liga tushsa, uning muddati allaqachon tugagan boΚ»ladi).
- Cosign (Container Signing) - konteynerlar uchun imzolarni yaratish, imzolarni tekshirish va imzolangan konteynerlarni OCI (Ochiq konteyner tashabbusi) bilan mos keladigan omborlarga joylashtirish uchun asboblar to'plami.
Manba: opennet.ru