Sigstore kann als Let’s Encrypt für Code betrachtet werden, das Zertifikate zum digitalen Signieren von Code und Tools zur Automatisierung der Überprüfung bereitstellt.
Google enthüllt durch einen Blogbeitrag, die Ankündigung von die Bildung der ersten stabilen Versionen von die Komponenten, aus denen das Projekt besteht Signstore, die für die Erstellung von Arbeitseinsätzen geeignet erklärt wird.
Für diejenigen, die Sigstore nicht kennen, sollten sie wissen, dass dies ein Projekt ist, das hat den Zweck, Tools und Dienstleistungen zur Verifizierung von Software zu entwickeln und bereitzustellen Verwendung digitaler Signaturen und Führen eines öffentlichen Registers, das die Authentizität der Änderungen bestätigt (Transparenzregister).
Mit Sigstore, Entwickler können digital signieren anwendungsbezogene Artefakte wie Release-Dateien, Container-Images, Manifeste und ausführbare Dateien. Das verwendete Material für die Signatur wird in einer manipulationssicheren öffentlichen Aufzeichnung widergespiegelt die zur Verifizierung und Prüfung verwendet werden können.
Anstelle von Dauerschlüsselnverwendet Sigstore kurzlebige ephemere Schlüssel die auf der Grundlage der von den OpenID Connect-Anbietern verifizierten Anmeldeinformationen generiert werden (zum Zeitpunkt der Generierung der für die Erstellung einer digitalen Signatur erforderlichen Schlüssel wird der Entwickler über den OpenID-Anbieter mit einem E-Mail-Link identifiziert).
Die Authentizität der Schlüssel wird von einem zentralisierten öffentlichen Register verifiziert, Dadurch können Sie sicherstellen, dass der Autor der Signatur genau der ist, für den er sich ausgibt, und dass die Signatur von demselben Teilnehmer erstellt wurde, der für frühere Versionen verantwortlich war.
Die Vorbereitung von Sigstore Für die Umsetzung liegt an Versionierung von zwei Schlüsselkomponenten: Rekor 1.0 und Fulcio 1.0, deren Programmierschnittstellen als stabil deklariert werden und fortan kompatibel zu früheren Versionen bleiben. Die Komponenten des Dienstes sind in Go geschrieben und werden unter der Apache 2.0-Lizenz veröffentlicht.
Die Komponente Rekor enthält eine Registrierungsimplementierung zum Speichern digital signierter Metadaten die Informationen über Projekte widerspiegeln. Um die Integrität und den Schutz vor Datenkorruption zu gewährleisten, wird eine Merkle-Tree-Struktur verwendet, bei der jeder Zweig alle zugrunde liegenden Zweige und Knoten über einen gemeinsamen Hash (Baum) überprüft. Durch einen endgültigen Hash kann der Benutzer die Korrektheit des gesamten Vorgangsverlaufs sowie die Korrektheit vergangener Zustände der Datenbank überprüfen (der Root-Check-Hash des neuen Zustands der Datenbank wird unter Berücksichtigung des vergangenen Zustands berechnet). Eine RESTful-API zum Prüfen und Hinzufügen neuer Datensätze wird ebenso bereitgestellt wie eine Befehlszeilenschnittstelle.
Die Komponente Fulcius (SigStore WebPKI) enthält ein System zum Erstellen von Zertifizierungsstellen (Root-CA), die kurzlebige Zertifikate basierend auf authentifizierter E-Mail über OpenID Connect ausstellen. Die Lebensdauer des Zertifikats beträgt 20 Minuten, in denen der Entwickler Zeit haben muss, eine digitale Signatur zu erzeugen (falls das Zertifikat in Zukunft einem Angreifer in die Hände fällt, ist es bereits abgelaufen). Ebenfalls, Das Projekt entwickelt das Cosign-Toolkit (Container Signing), entwickelt, um Signaturen für Container zu generieren, Signaturen zu überprüfen und signierte Container in OCI (Open Container Initiative)-konformen Repositories zu platzieren.
Die Einführung von Sigstore ermöglicht es, die Sicherheit von Software-Vertriebskanälen zu erhöhen und schützen Sie sich vor Angriffen, die auf die Substitution von Bibliotheken und Abhängigkeiten (Lieferkette) abzielen. Eines der wichtigsten Sicherheitsprobleme bei Open-Source-Software ist die Schwierigkeit, die Quelle des Programms und den Erstellungsprozess zu überprüfen.
Die Verwendung digitaler Signaturen zur Versionsprüfung ist noch nicht weit verbreitet aufgrund von Schwierigkeiten bei der Schlüsselverwaltung, der Verteilung öffentlicher Schlüssel und dem Widerruf kompromittierter Schlüssel. Damit die Verifizierung sinnvoll ist, ist es auch notwendig, einen zuverlässigen und sicheren Prozess für die Verteilung von öffentlichen Schlüsseln und Prüfsummen zu organisieren. Selbst mit einer digitalen Signatur ignorieren viele Benutzer die Verifizierung, da es einige Zeit dauert, den Verifizierungsprozess zu erlernen und zu verstehen, welchem Schlüssel vertraut wird.
Das Projekt wird unter der Schirmherrschaft der gemeinnützigen Linux Foundation von Google, Red Hat, Cisco, vmWare, GitHub und HP Enterprise unter Beteiligung von OpenSSF (Open Source Security Foundation) und der Purdue University entwickelt.
Schließlich, wenn Sie daran interessiert sind, mehr darüber zu erfahren, können Sie die Details in . einsehen den folgenden Link.