Sigstore ، نظام التحقق من التشفير مستقر بالفعل

كشف النقاب عن جوجل من خلال مشاركة مدونة ، الإعلان عن تشكيل أول إصدارات مستقرة من المكونات التي يتكون منها المشروع سيجستور التي تم إعلان أنها مناسبة لإنشاء عمليات نشر العمل.

بالنسبة لأولئك الذين ليسوا على دراية بـ Sigstore ، يجب أن يعلموا أن هذا مشروع الغرض من تطوير وتوفير الأدوات والخدمات للتحقق من البرامج استخدام التوقيعات الرقمية والحفاظ على سجل عام يؤكد صحة التغييرات (سجل الشفافية).

مع Sigstore ، يمكن للمطورين التوقيع رقميًا العناصر ذات الصلة بالتطبيق مثل ملفات الإصدار ، وصور الحاوية ، والمانيفستات ، والملفات التنفيذية. المواد المستخدمة ل ينعكس التوقيع في سجل عام غير قابل للعبث والتي يمكن استخدامها للتحقق والتدقيق.

بدلا من المفاتيح الدائمة، يستخدم Sigstore مفاتيح سريعة الزوال قصيرة العمر التي تم إنشاؤها بناءً على بيانات الاعتماد التي تم التحقق منها بواسطة موفري OpenID Connect (في وقت إنشاء المفاتيح اللازمة لإنشاء توقيع رقمي ، يتم التعرف على المطور من خلال موفر OpenID برابط بريد إلكتروني).

يتم التحقق من أصالة المفاتيح بواسطة سجل عام مركزي ، مما يسمح لك بالتأكد من أن مؤلف التوقيع هو بالضبط من هم ، وأن التوقيع تم تكوينه من قبل نفس المشارك الذي كان مسؤولاً عن الإصدارات السابقة.

إعداد Sigstore للتنفيذ إنه بسبب إصدار مكونين رئيسيين: Rekor 1.0 و Fulcio 1.0، التي تم إعلان أن واجهات البرمجة الخاصة بها مستقرة ومن الآن فصاعدًا تحتفظ بالتوافق مع الإصدارات السابقة. تمت كتابة مكونات الخدمة في Go وتم إصدارها بموجب ترخيص Apache 2.0.

المكون يحتوي Rekor على تطبيق التسجيل لتخزين البيانات الوصفية الموقعة رقمياً التي تعكس معلومات عن المشاريع. لضمان النزاهة والحماية من تلف البيانات ، يتم استخدام هيكل Merkle Tree حيث يتحقق كل فرع من جميع الفروع والعقد الأساسية عبر التجزئة المشتركة (الشجرة). من خلال الحصول على تجزئة نهائية ، يمكن للمستخدم التحقق من صحة سجل العملية بالكامل ، بالإضافة إلى صحة الحالات السابقة لقاعدة البيانات (يتم حساب تجزئة فحص الجذر للحالة الجديدة لقاعدة البيانات مع الأخذ في الاعتبار الحالة السابقة). يتم توفير واجهة برمجة تطبيقات RESTful للتحقق من السجلات الجديدة وإضافتها ، بالإضافة إلى واجهة سطر الأوامر.

المكون فولكيوس (سيجستور ويبكي) يتضمن نظامًا لإنشاء المراجع المصدقة (المرجع المصدق الجذر) الذي يصدر شهادات قصيرة العمر بناءً على بريد إلكتروني مصدق عبر OpenID Connect. تبلغ مدة صلاحية الشهادة 20 دقيقة ، يجب أن يتوفر خلالها للمطور الوقت لإنشاء توقيع رقمي (إذا وقعت الشهادة في أيدي مهاجم في المستقبل ، فستنتهي صلاحيتها بالفعل). ايضا، يطور المشروع مجموعة أدوات Cosign (توقيع الحاوية) ، المصمم لإنشاء توقيعات للحاويات ، والتحقق من التوقيعات ووضع الحاويات الموقعة في مستودعات متوافقة مع OCI (مبادرة الحاوية المفتوحة).

مقدمة من يسمح Sigstore بزيادة أمان قنوات توزيع البرامج والحماية من الهجمات التي تستهدف المكتبات واستبدال التبعية (سلسلة التوريد). تتمثل إحدى مشكلات الأمان الرئيسية في البرامج مفتوحة المصدر في صعوبة التحقق من مصدر البرنامج والتحقق من عملية الإنشاء.

لم ينتشر بعد استخدام التوقيعات الرقمية للتحقق من الإصدار بسبب الصعوبات في إدارة المفاتيح وتوزيع المفتاح العام وإلغاء المفاتيح المخترقة. لكي يكون التحقق منطقيًا ، من الضروري أيضًا تنظيم عملية موثوقة وآمنة لتوزيع المفاتيح العامة والمجاميع الاختبارية. حتى مع وجود التوقيع الرقمي ، يتجاهل العديد من المستخدمين التحقق لأنه يستغرق وقتًا لمعرفة عملية التحقق وفهم أي مفتاح موثوق به.

يتم تطوير المشروع تحت رعاية مؤسسة Linux غير الربحية من Google و Red Hat و Cisco و vmWare و GitHub و HP Enterprise بمشاركة OpenSSF (مؤسسة أمان المصدر المفتوح) وجامعة بوردو.

أخيرًا ، إذا كنت مهتمًا بأن تكون قادرًا على معرفة المزيد عنها ، فيمكنك الرجوع إلى التفاصيل في الرابط التالي.