Sigstore se može smatrati Let's Encrypt za kod, pružajući certifikate za digitalno potpisivanje koda i alate za automatizaciju verifikacije.
Google je predstavio putem objave na blogu, najave formiranje prvih stabilnih verzija komponente koje čine projekt potpisnica, koji je proglašen prikladnim za stvaranje radnih rasporeda.
Za one koji nisu upoznati sa Sigstoreom, trebali bi znati da je ovo projekt koji ima za svrhu razvoj i pružanje alata i usluga za provjeru softvera uporabom digitalnog potpisa i vođenjem javnog registra kojim se potvrđuje vjerodostojnost promjena (registar transparentnosti).
Uz Sigstore, programeri se mogu digitalno potpisati artefakti vezani uz aplikaciju kao što su datoteke izdanja, slike spremnika, manifesti i izvršne datoteke. Materijal koji se koristi za potpis se odražava u javnoj evidenciji zaštićenoj od neovlaštenog mijenjanja koji se može koristiti za verifikaciju i reviziju.
Umjesto stalnih ključeva, Sigstore koristi kratkotrajne efemerne ključeve koji se generiraju na temelju vjerodajnica koje su verificirali pružatelji usluga OpenID Connect (u trenutku generiranja ključeva potrebnih za izradu digitalnog potpisa, programer se identificira putem pružatelja usluga OpenID s vezom putem e-pošte).
Autentičnost ključeva provjerava centralizirani javni registar, što vam omogućuje da budete sigurni da je autor potpisa upravo onaj tko se predstavlja i da je potpis sastavio isti sudionik koji je bio odgovoran za ranije verzije.
Priprema Sigstore za provedbu je zbog verzija dviju ključnih komponenti: Rekor 1.0 i Fulcio 1.0, čija su programska sučelja proglašena stabilnim i ubuduće zadržavaju kompatibilnost s prethodnim verzijama. Komponente usluge napisane su u Go-u i izdane su pod licencom Apache 2.0.
Komponenta Rekor sadrži implementaciju registra za pohranu digitalno potpisanih metapodataka koji odražavaju informacije o projektima. Kako bi se osigurao integritet i zaštita od oštećenja podataka, koristi se struktura Merkleovog stabla u kojoj svaka grana provjerava sve temeljne grane i čvorove putem zajedničkog hasha (stabla). Posjedovanjem konačnog hasha korisnik može provjeriti ispravnost cjelokupne povijesti operacija, kao i ispravnost prošlih stanja baze podataka (root check hash novog stanja baze izračunava se s obzirom na prošlo stanje). Omogućen je RESTful API za provjeru i dodavanje novih zapisa, kao i sučelje naredbenog retka.
Komponenta fulcij (SigStore WebPKI) uključuje sustav za kreiranje certifikacijskih tijela (root CA) koji izdaju kratkotrajne certifikate na temelju provjerene e-pošte putem OpenID Connecta. Životni vijek certifikata je 20 minuta, tijekom kojih programer mora imati vremena za generiranje digitalnog potpisa (ako certifikat padne u ruke napadača u budućnosti, već će isteći). Također, projekt razvija alat Cosign (Container Signing), dizajniran za generiranje potpisa za spremnike, provjeru potpisa i postavljanje potpisanih spremnika u OCI (Open Container Initiative) skladišta kompatibilna.
Uvođenje Sigstore omogućuje povećanje sigurnosti kanala distribucije softvera i zaštititi od napada usmjerenih na knjižnicu i zamjenu ovisnosti (lanac opskrbe). Jedno od ključnih sigurnosnih pitanja u softveru otvorenog izvornog koda je teškoća provjere izvora programa i provjere procesa izgradnje.
Upotreba digitalnih potpisa za provjeru verzije još nije raširena zbog poteškoća u upravljanju ključevima, distribuciji javnih ključeva i opozivu kompromitiranih ključeva. Da bi verifikacija imala smisla, također je potrebno organizirati pouzdan i siguran proces distribucije javnih ključeva i kontrolnih zbrojeva. Čak i uz digitalni potpis, mnogi korisnici ignoriraju provjeru jer je potrebno vrijeme da se nauči postupak potvrde i shvati koji se ključ smatra pouzdanim.
Projekt se razvija pod pokroviteljstvom neprofitne Linux Foundation grupe Google, Red Hat, Cisco, vmWare, GitHub i HP Enterprise uz sudjelovanje OpenSSF-a (Open Source Security Foundation) i Sveučilišta Purdue.
Konačno, ako vas zanima više o tome, možete se obratiti pojedinostima u sljedeći link.