Google đã công bố việc hình thành các bản phát hành ổn định đầu tiên của các thành phần hình thành nên dự án Sigstore, được tuyên bố là phù hợp để tạo ra các triển khai hoạt động. Sigstore phát triển các công cụ và dịch vụ để xác minh phần mềm bằng chữ ký số và duy trì nhật ký công khai xác nhận tính xác thực của các thay đổi (nhật ký minh bạch). Dự án đang được phát triển dưới sự bảo trợ của tổ chức phi lợi nhuận Linux Foundation của Google, Red Hat, Cisco, vmWare, GitHub và HP Enterprise với sự tham gia của tổ chức OpenSSF (Open Source Security Foundation) và Đại học Purdue.
Sigstore có thể được coi là một dạng tương tự của Let's Encrypt dành cho mã, cung cấp chứng chỉ cho mã ký điện tử và các công cụ để tự động xác minh. Với Sigstore, các nhà phát triển có thể ký điện tử các tạo phẩm liên quan đến ứng dụng như tệp phát hành, hình ảnh vùng chứa, bảng kê khai và tệp thực thi. Tài liệu chữ ký được phản ánh trong nhật ký công khai chống giả mạo có thể được sử dụng để xác minh và kiểm tra.
Thay vì khóa cố định, Sigstore sử dụng khóa tạm thời, được tạo dựa trên thông tin xác thực được xác nhận bởi nhà cung cấp OpenID Connect (tại thời điểm tạo khóa cần thiết để tạo chữ ký số, nhà phát triển sẽ tự nhận dạng mình thông qua nhà cung cấp OpenID được liên kết với một e-mail). Tính xác thực của các khóa được xác minh bằng cách sử dụng nhật ký tập trung công khai, giúp xác minh rằng tác giả của chữ ký chính xác là người mà anh ta tuyên bố là ai và chữ ký được tạo bởi cùng một người tham gia chịu trách nhiệm về các bản phát hành trước đây.
Sự sẵn sàng triển khai của Sigstore là do sự hình thành các bản phát hành của hai thành phần chính - Rekor 1.0 và Fulcio 1.0, giao diện phần mềm được tuyên bố là ổn định và sẽ tiếp tục tương thích ngược. Các thành phần dịch vụ được viết bằng Go và được phân phối theo giấy phép Apache 2.0.
Thành phần Rekor chứa triển khai nhật ký để lưu trữ siêu dữ liệu được ký điện tử phản ánh thông tin về các dự án. Để đảm bảo tính toàn vẹn và bảo vệ dữ liệu khỏi bị hỏng sau thực tế, cấu trúc cây Merkle Tree được sử dụng, trong đó mỗi nhánh xác minh tất cả các nhánh và nút cơ bản thông qua phép băm chung (cây). Có hàm băm cuối cùng, người dùng có thể xác minh tính chính xác của toàn bộ lịch sử hoạt động, cũng như tính chính xác của các trạng thái trước đây của cơ sở dữ liệu (băm xác minh gốc của trạng thái mới của cơ sở dữ liệu được tính toán có tính đến trạng thái trong quá khứ). ). API RESTful được cung cấp cũng như giao diện dòng lệnh để xác minh và thêm các mục mới.
Thành phần Fulcio (SigStore WebPKI) bao gồm một hệ thống tạo cơ quan cấp chứng chỉ (CA gốc) cấp chứng chỉ tồn tại trong thời gian ngắn dựa trên email được xác thực thông qua OpenID Connect. Thời hạn tồn tại của chứng chỉ là 20 phút, trong thời gian đó nhà phát triển phải có thời gian để tạo chữ ký điện tử (nếu sau này chứng chỉ rơi vào tay kẻ tấn công thì chứng chỉ đó sẽ hết hạn). Ngoài ra, dự án đang phát triển bộ công cụ Cosign (Ký vùng chứa), được thiết kế để tạo chữ ký cho vùng chứa, xác minh chữ ký và đặt các vùng chứa đã ký trong kho tương thích với OCI (Sáng kiến vùng chứa mở).
Việc triển khai Sigstore giúp tăng cường tính bảo mật của các kênh phân phối chương trình và bảo vệ khỏi các cuộc tấn công nhằm thay thế các thư viện và phần phụ thuộc (chuỗi cung ứng). Một trong những vấn đề bảo mật quan trọng trong phần mềm nguồn mở là khó khăn trong việc xác minh nguồn của chương trình và xác minh quá trình xây dựng. Ví dụ: hầu hết các dự án sử dụng hàm băm để xác minh tính toàn vẹn của bản phát hành, nhưng thông tin cần thiết để xác thực thường được lưu trữ trên các hệ thống không được bảo vệ và trong kho mã chung, do đó kẻ tấn công có thể xâm phạm các tệp cần thiết để xác minh và đưa ra các thay đổi độc hại. mà không gây nghi ngờ.
Việc sử dụng chữ ký số để xác minh bản phát hành vẫn chưa trở nên phổ biến do gặp khó khăn trong việc quản lý khóa, phân phối khóa công khai và thu hồi khóa bị xâm phạm. Để việc xác minh có ý nghĩa, cần phải tổ chức một quy trình đáng tin cậy và an toàn để phân phối khóa công khai và tổng kiểm tra. Ngay cả với chữ ký số, nhiều người dùng bỏ qua việc xác minh vì họ cần dành thời gian tìm hiểu quy trình xác minh và hiểu khóa nào đáng tin cậy. Dự án Sigstore cố gắng đơn giản hóa và tự động hóa các quy trình này bằng cách cung cấp giải pháp làm sẵn và đã được chứng minh.
Nguồn: opennet.ru