Sigstore se može zamisliti kao Let's Encrypt for code, koji pruža certifikate za digitalno potpisivanje koda i alate za automatizaciju verifikacije.
Google predstavio putem objave na blogu, najava formiranje prvih stabilnih verzija komponente koje čine projekat sigstore, koji je proglašen pogodnim za kreiranje radnih implementacija.
Za one koji ne znaju za Sigstore, trebali bi znati da je ovo projekat koji ima svrhu razvoja i pružanja alata i usluga za verifikaciju softvera korištenjem digitalnih potpisa i vođenjem javnog registra koji potvrđuje autentičnost izmjena (registar transparentnosti).
sa Sigstoreom, programeri mogu digitalno potpisati artefakti koji se odnose na aplikacije kao što su datoteke izdanja, slike kontejnera, manifesti i izvršni fajlovi. Materijal koji se koristi za potpis se ogleda u javnoj evidenciji koja je zaštićena od neovlaštenog pristupa koji se može koristiti za verifikaciju i reviziju.
Umjesto trajnih ključeva, Sigstore koristi kratkotrajne efemerne ključeve koji se generišu na osnovu akreditiva verifikovanih od strane OpenID Connect provajdera (u trenutku generisanja ključeva neophodnih za kreiranje digitalnog potpisa, programer se identifikuje preko OpenID provajdera sa vezom e-pošte).
Autentičnost ključeva provjerava centralizirani javni registar, što vam omogućava da budete sigurni da je autor potpisa tačno onaj za koga se kaže, i da je potpis formirao isti učesnik koji je bio odgovoran za ranije verzije.
Priprema Sigstora za implementaciju je zbog verzijama dvije ključne komponente: Rekor 1.0 i Fulcio 1.0, čiji su programski interfejsi proglašeni stabilnim i od sada zadržavaju kompatibilnost sa prethodnim verzijama. Komponente usluge su napisane u Go i objavljene su pod licencom Apache 2.0.
Komponenta Rekor sadrži implementaciju registra za pohranjivanje digitalno potpisanih metapodataka koji odražavaju informacije o projektima. Da bi se osigurao integritet i zaštita od oštećenja podataka, koristi se struktura Merkle Tree u kojoj svaka grana provjerava sve osnovne grane i čvorove putem zajedničkog hash-a (stabla). Imajući konačni hash, korisnik može provjeriti ispravnost cjelokupne historije operacija, kao i ispravnost prošlih stanja baze podataka (heš provjere korijena novog stanja baze podataka izračunava se s obzirom na prošlo stanje). Obezbeđen je RESTful API za proveru i dodavanje novih zapisa, kao i interfejs komandne linije.
Komponenta fulcius (SigStore WebPKI) uključuje sistem za kreiranje certifikacijskih tijela (root CA) koji izdaju kratkotrajne certifikate na osnovu autentificirane e-pošte putem OpenID Connect-a. Životni vek sertifikata je 20 minuta, tokom kojih programer mora imati vremena da generiše digitalni potpis (ako sertifikat dospe u ruke napadača u budućnosti, on će već biti istekao). također, projekat razvija komplet alata Cosign (Potpisivanje kontejnera), dizajniran za generiranje potpisa za kontejnere, provjeru potpisa i postavljanje potpisanih kontejnera u OCI (Open Container Initiative) kompatibilna spremišta.
Uvođenje Sigstore omogućava povećanje sigurnosti kanala distribucije softvera i zaštitu od napada koji ciljaju biblioteku i zamjenu ovisnosti (lanac snabdijevanja). Jedno od ključnih sigurnosnih problema u softveru otvorenog koda je teškoća provjere izvora programa i provjere procesa izrade.
Upotreba digitalnih potpisa za verifikaciju verzije još nije široko rasprostranjena zbog poteškoća u upravljanju ključevima, distribuciji javnih ključeva i opozivu kompromitovanih ključeva. Da bi verifikacija imala smisla, takođe je potrebno organizovati pouzdan i siguran proces distribucije javnih ključeva i kontrolnih suma. Čak i sa digitalnim potpisom, mnogi korisnici zanemaruju verifikaciju jer je potrebno vrijeme da nauče proces verifikacije i razumiju kojem ključu se vjeruje.
Projekat se razvija pod pokroviteljstvom neprofitne Linux fondacije Google, Red Hat, Cisco, vmWare, GitHub i HP Enterprise uz učešće OpenSSF (Open Source Security Foundation) i Univerziteta Purdue.
Konačno, ako ste zainteresirani da saznate više o tome, možete pogledati detalje u sljedeći link.