Sigstore kan opfattes som en Let's Encrypt for kode, der giver certifikater til digital signering af kode og værktøjer til at automatisere verifikation.
Google afsløret gennem et blogindlæg, annonceringen af dannelsen af de første stabile versioner af de komponenter, der udgør projektet sigstore, som er erklæret egnet til at skabe arbejdsudrulninger.
For dem, der ikke kender til Sigstore, skal de vide, at dette er et projekt, der har til formål at udvikle og levere værktøjer og tjenester til verifikation af software ved at bruge digitale signaturer og vedligeholde et offentligt register, der bekræfter ændringernes ægthed (transparency registry).
Med Sigstore, udviklere kan signere digitalt applikationsrelaterede artefakter såsom udgivelsesfiler, containerbilleder, manifester og eksekverbare filer. Materialet brugt til signaturen afspejles i en manipulationssikker offentlig registrering som kan bruges til verifikation og revision.
I stedet for permanente nøgler, Sigstore bruger kortlivede flygtige nøgler der genereres baseret på de legitimationsoplysninger, der er verificeret af OpenID Connect-udbyderne (på tidspunktet for generering af de nødvendige nøgler til at oprette en digital signatur, identificeres udvikleren gennem OpenID-udbyderen med et e-mail-link).
Nøglernes ægthed verificeres af et centraliseret offentligt register, som giver dig mulighed for at sikre dig, at forfatteren til signaturen er præcis den, de siger, de er, og at signaturen er dannet af den samme deltager, som var ansvarlig for tidligere versioner.
Udarbejdelsen af Sigstore til implementering skyldes versionering af to nøglekomponenter: Rekor 1.0 og Fulcio 1.0, hvis programmeringsgrænseflader er erklæret stabile og fremover bevarer kompatibilitet med tidligere versioner. Komponenterne i tjenesten er skrevet i Go og frigives under Apache 2.0-licensen.
Komponenten Rekor indeholder en registreringsimplementering til lagring af digitalt signerede metadata der afspejler information om projekter. For at sikre integritet og beskyttelse mod datakorruption anvendes en Merkle Tree-struktur, hvor hver gren verificerer alle underliggende grene og noder via fælles hash (træ). Ved at have en endelig hash kan brugeren verificere rigtigheden af hele operationshistorikken såvel som rigtigheden af databasens tidligere tilstande (rodcheck-hashen for den nye tilstand af databasen beregnes under hensyntagen til den tidligere tilstand). En RESTful API til kontrol og tilføjelse af nye poster er tilvejebragt, samt en kommandolinjegrænseflade.
Komponenten fulcius (SigStore WebPKI) omfatter et system til oprettelse af certificeringsmyndigheder (rod-CA), der udsteder kortlivede certifikater baseret på autentificeret e-mail via OpenID Connect. Levetiden for certifikatet er 20 minutter, hvor udvikleren skal have tid til at generere en digital signatur (hvis certifikatet falder i hænderne på en angriber i fremtiden, vil det allerede være udløbet). Også, projektet udvikler Cosign-værktøjssættet (Container Signing), designet til at generere signaturer til containere, verificere signaturer og placere signerede containere i OCI (Open Container Initiative) kompatible lagre.
Indførelsen af Sigstore giver mulighed for at øge sikkerheden for softwaredistributionskanaler og beskytte mod angreb rettet mod biblioteks- og afhængighedssubstitution (forsyningskæde). Et af de vigtigste sikkerhedsproblemer i open source-software er vanskeligheden ved at verificere kilden til programmet og verificere byggeprocessen.
Brugen af digitale signaturer til versionsverifikation er endnu ikke udbredt på grund af vanskeligheder med nøglehåndtering, distribution af offentlige nøgler og tilbagekaldelse af kompromitterede nøgler. For at verifikation skal give mening, er det også nødvendigt at organisere en pålidelig og sikker proces for distribution af offentlige nøgler og kontrolsummer. Selv med en digital signatur ignorerer mange brugere verifikation, fordi det tager tid at lære verifikationsprocessen og forstå, hvilken nøgle der er tillid til.
Projektet udvikles i regi af nonprofit Linux Foundation fra Google, Red Hat, Cisco, vmWare, GitHub og HP Enterprise med deltagelse af OpenSSF (Open Source Security Foundation) og Purdue University.
Endelig, hvis du er interesseret i at kunne vide mere om det, kan du se detaljerne i følgende link.