Το Sigstore μπορεί να θεωρηθεί ως ένα Let's Encrypt για κώδικα, παρέχοντας πιστοποιητικά για την ψηφιακή υπογραφή κώδικα και εργαλεία για την αυτοματοποίηση της επαλήθευσης.
Η Google αποκάλυψε μέσω ανάρτησης ιστολογίου, η ανακοίνωση του ο σχηματισμός των πρώτων σταθερών εκδόσεων του τα στοιχεία που συνθέτουν το έργο sigstore, το οποίο δηλώνεται κατάλληλο για τη δημιουργία θέσεων εργασίας.
Για όσους δεν γνωρίζουν το Sigstore, θα πρέπει να γνωρίζουν ότι πρόκειται για ένα έργο που έχει σκοπό την ανάπτυξη και παροχή εργαλείων και υπηρεσιών για την επαλήθευση λογισμικού χρήση ψηφιακών υπογραφών και τήρηση δημόσιου μητρώου που επιβεβαιώνει τη γνησιότητα των αλλαγών (μητρώο διαφάνειας).
Με το Sigstore, οι προγραμματιστές μπορούν να υπογράψουν ψηφιακά τεχνουργήματα που σχετίζονται με εφαρμογές, όπως αρχεία έκδοσης, εικόνες κοντέινερ, δηλώσεις και εκτελέσιμα αρχεία. Το υλικό που χρησιμοποιείται για η υπογραφή αντικατοπτρίζεται σε ένα δημόσιο αρχείο χωρίς παραποίηση που μπορεί να χρησιμοποιηθεί για επαλήθευση και έλεγχο.
Αντί για μόνιμα κλειδιά, το Sigstore χρησιμοποιεί εφήμερα κλειδιά μικρής διάρκειας που δημιουργούνται με βάση τα διαπιστευτήρια που έχουν επαληθευτεί από τους παρόχους OpenID Connect (κατά τη στιγμή της δημιουργίας των κλειδιών που είναι απαραίτητα για τη δημιουργία μιας ψηφιακής υπογραφής, ο προγραμματιστής αναγνωρίζεται μέσω του παρόχου OpenID με έναν σύνδεσμο email).
Η αυθεντικότητα των κλειδιών επαληθεύεται από ένα κεντρικό δημόσιο μητρώο, που σας επιτρέπει να βεβαιωθείτε ότι ο συγγραφέας της υπογραφής είναι ακριβώς αυτός που λένε ότι είναι και ότι η υπογραφή σχηματίστηκε από τον ίδιο συμμετέχοντα που ήταν υπεύθυνος για προηγούμενες εκδόσεις.
Η προετοιμασία του Sigstore για υλοποίηση οφείλεται σε έκδοση δύο βασικών στοιχείων: Rekor 1.0 και Fulcio 1.0, των οποίων οι διεπαφές προγραμματισμού δηλώνονται σταθερές και στο εξής διατηρούν συμβατότητα με προηγούμενες εκδόσεις. Τα στοιχεία της υπηρεσίας είναι γραμμένα στο Go και κυκλοφορούν με την άδεια Apache 2.0.
Το συστατικό Το Rekor περιέχει μια εφαρμογή μητρώου για την αποθήκευση μεταδεδομένων με ψηφιακή υπογραφή που αντικατοπτρίζουν πληροφορίες για έργα. Για να διασφαλιστεί η ακεραιότητα και η προστασία από την καταστροφή δεδομένων, χρησιμοποιείται μια δομή Merkle Tree στην οποία κάθε κλάδος επαληθεύει όλους τους υποκείμενους κλάδους και κόμβους μέσω κοινού κατακερματισμού (δέντρο). Έχοντας έναν τελικό κατακερματισμό, ο χρήστης μπορεί να επαληθεύσει την ορθότητα ολόκληρου του ιστορικού λειτουργίας, καθώς και την ορθότητα των προηγούμενων καταστάσεων της βάσης δεδομένων (το root check hash της νέας κατάστασης της βάσης δεδομένων υπολογίζεται λαμβάνοντας υπόψη την προηγούμενη κατάσταση). Παρέχεται ένα RESTful API για τον έλεγχο και την προσθήκη νέων εγγραφών, καθώς και μια διεπαφή γραμμής εντολών.
Το συστατικό fulcius (SigStore WebPKI) περιλαμβάνει σύστημα δημιουργίας αρχών πιστοποίησης (root CA) που εκδίδουν βραχυπρόθεσμα πιστοποιητικά που βασίζονται σε επαληθευμένα μηνύματα ηλεκτρονικού ταχυδρομείου μέσω OpenID Connect. Η διάρκεια ζωής του πιστοποιητικού είναι 20 λεπτά, κατά τη διάρκεια των οποίων ο προγραμματιστής πρέπει να έχει χρόνο να δημιουργήσει μια ψηφιακή υπογραφή (εάν το πιστοποιητικό πέσει στα χέρια ενός εισβολέα στο μέλλον, θα έχει ήδη λήξει). Επίσης, το έργο αναπτύσσει την εργαλειοθήκη Cosign (Container Signing), σχεδιασμένο να δημιουργεί υπογραφές για κοντέινερ, να επαληθεύει υπογραφές και να τοποθετεί υπογεγραμμένα δοχεία σε αποθετήρια συμβατά με το OCI (Open Container Initiative).
Η εισαγωγή του Το Sigstore επιτρέπει την αύξηση της ασφάλειας των καναλιών διανομής λογισμικού και προστασία από επιθέσεις που στοχεύουν βιβλιοθήκη και αντικατάσταση εξαρτήσεων (αλυσίδα εφοδιασμού). Ένα από τα βασικά ζητήματα ασφάλειας στο λογισμικό ανοιχτού κώδικα είναι η δυσκολία επαλήθευσης της πηγής του προγράμματος και επαλήθευσης της διαδικασίας κατασκευής.
Η χρήση ψηφιακών υπογραφών για την επαλήθευση της έκδοσης δεν είναι ακόμη ευρέως διαδεδομένη λόγω δυσκολιών στη διαχείριση κλειδιών, στη διανομή δημόσιου κλειδιού και στην ανάκληση παραβιασμένων κλειδιών. Για να έχει νόημα η επαλήθευση, είναι επίσης απαραίτητο να οργανωθεί μια αξιόπιστη και ασφαλής διαδικασία για τη διανομή των δημόσιων κλειδιών και των αθροισμάτων ελέγχου. Ακόμη και με μια ψηφιακή υπογραφή, πολλοί χρήστες αγνοούν την επαλήθευση επειδή χρειάζεται χρόνος για να μάθουν τη διαδικασία επαλήθευσης και να κατανοήσουν ποιο κλειδί είναι αξιόπιστο.
Το έργο αναπτύσσεται υπό την αιγίδα του μη κερδοσκοπικού ιδρύματος Linux της Google, Red Hat, Cisco, vmWare, GitHub και HP Enterprise με τη συμμετοχή του OpenSSF (Open Source Security Foundation) και του Πανεπιστημίου Purdue.
Τέλος, αν ενδιαφέρεστε να μάθετε περισσότερα σχετικά, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο τον ακόλουθο σύνδεσμο.