Sigstore es pot considerar com un Let's Encrypt per a codi, que proporciona certificats per signar codi digitalment i eines per automatitzar la verificació.
Google va donar a conèixer mitjançant una publicació de bloc, l'anunci de la formació de les primeres versions estables de els components que formen el projecte Sigstore, que es declara adequat per crear implementacions de treball.
Per als que desconeixen de Sigstore, han de saber que aquest és un projecte que té la finalitat de desenvolupar i proporcionar eines i serveis per a la verificació de programari utilitzant signatures digitals i mantenint un registre públic que confirma l'autenticitat dels canvis (registre de transparència).
Amb Sigstore, els desenvolupadors poden signar digitalment artefactes relacionats amb aplicacions, com ara arxius de llançament, imatges de contenidors, manifestos i executables. El material utilitzat per la signatura es reflecteix en un registre públic a prova de manipulacions que es pot utilitzar per a la verificació i auditoria.
En lloc de claus permanents, Sigstore utilitza claus efímeres de curta durada que es generen segons les credencials verificades pels proveïdors d'OpenID Connect (en el moment de generar les claus necessàries per crear una signatura digital, el desenvolupador s'identifica a través del proveïdor d'OpenID amb enllaç de correu electrònic).
L'autenticitat de les claus es verifica mitjançant un registre públic centralitzat, que us permet assegurar-vos que l'autor de la signatura és exactament qui diu ser, i que la signatura va ser formada pel mateix participant que va ser responsable de versions anteriors.
La preparació de Sigstore per a la implementació es deu a la formació de versions de dos components clau: Rekor 1.0 i Fulci 1.0, les interfícies de programació de les quals es declaren estables i, en endavant, conserven la compatibilitat amb versions anteriors. Els components del servei estan escrits a Go i es distribueixen sota la llicència Apache 2.0.
el component Rekor conté una implementació de registre per emmagatzemar metadades firmades digitalment que reflecteixen informació sobre projectes. Per garantir la integritat i la protecció contra la corrupció de dades, s'utilitza una estructura d'arbre Merkle Tree on cada branca verifica totes les branques i nodes subjacents a través de hash conjunt (arbre). En tenir un hash final, l'usuari pot verificar l'exactitud de tot l'historial d'operacions, així com l'exactitud dels estats passats de la base de dades (el hash de verificació arrel del nou estat de la base de dades es calcula tenint en compte l'estat passat). Es proporciona una API RESTful per verificar i afegir nous registres, així com una interfície de línia d'ordres.
el component Fulci (SigStore WebPKI) inclou un sistema per crear autoritats de certificació (CA root) que emeten certificats de curta durada basats en correu electrònic autenticat a través d'OpenID Connect. La vida útil del certificat és de 20 minuts, durant els quals el desenvolupador ha de tenir temps per generar una signatura digital (si en el futur el certificat cau a les mans d'un atacant, ja estarà caducat). A més, el projecte desenvolupa el kit d'eines Cosign (Container Signing), dissenyat per generar signatures per a contenidors, verificar signatures i col·locar contenidors signats en repositoris compatibles amb OCI (Open Container Initiative).
La introducció de Sigstore permet augmentar la seguretat dels canals de distribució de programari i protegir contra atacs dirigits a la substitució de biblioteques i dependències (cadena de subministrament). Un dels problemes de seguretat clau al programari de codi obert és la dificultat de verificar la font del programa i verificar el procés de compilació.
L'ús de signatures digitals per verificar versions encara no s'ha generalitzat degut a les dificultats en la gestió de claus, la distribució de claus públiques i la revocació de claus compromeses. Perquè la verificació tingui sentit, també cal organitzar un procés fiable i segur de distribució de claus públiques i sumes de verificació. Fins i tot amb una signatura digital, molts usuaris ignoren la verificació perquè fa temps que aprendre el procés de verificació i comprendre quina clau és fiable.
El projecte s'està desenvolupant sota l'auspici de l'organització sense ànim de lucre Linux Foundation de Google, Red Hat, Cisco, vmWare, GitHub i HP Enterprise amb la participació de OpenSSF (Open Source Security Foundation) i la Universitat de Purdue.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls a el següent enllaç.