A Sigstore úgy is felfogható, mint a Let's Encrypt for Code, amely tanúsítványokat biztosít a kód digitális aláírásához és eszközöket az ellenőrzés automatizálásához.
A Google bemutatta egy blogbejegyzésen keresztül, a bejelentése első stabil változatainak kialakulása a projektet alkotó komponensek áruház, amely alkalmasnak nyilvánított működő telepítések létrehozására.
Azok számára, akik nem ismerik a Sigstore-ot, tudniuk kell, hogy ez egy olyan projekt, amely célja a szoftverek ellenőrzéséhez szükséges eszközök és szolgáltatások fejlesztése és biztosítása digitális aláírások használata és a változások hitelességét igazoló nyilvános nyilvántartás (átláthatósági nyilvántartás) vezetése.
A Sigstore-al, a fejlesztők digitálisan aláírhatnak alkalmazásokhoz kapcsolódó melléktermékek, például kiadási fájlok, tárolóképek, jegyzékek és végrehajtható fájlok. A felhasznált anyag az aláírás hamisításbiztos nyilvános nyilvántartásban szerepel amelyek ellenőrzésre és auditálásra használhatók.
Állandó kulcsok helyett, A Sigstore rövid élettartamú efemer kulcsokat használ amelyek az OpenID Connect szolgáltatók által ellenőrzött hitelesítő adatok alapján jönnek létre (a digitális aláírás létrehozásához szükséges kulcsok generálásakor a fejlesztőt az OpenID szolgáltató azonosítja egy e-mail hivatkozással).
A kulcsok hitelességét egy központi nyilvános nyilvántartás ellenőrzi, amely lehetővé teszi, hogy megbizonyosodjon arról, hogy az aláírás szerzője pontosan az, akinek mondja magát, és hogy az aláírást ugyanaz a résztvevő készítette, aki a korábbi verziókért volt felelős.
A Sigstore előkészítése megvalósításához annak köszönhető, hogy két kulcsfontosságú komponens verziószáma: Rekor 1.0 és Fulcio 1.0, amelynek programozási felületei stabilnak vannak nyilvánítva, és ezentúl megőrzik a korábbi verziókkal való kompatibilitást. A szolgáltatás összetevői Go nyelven íródnak, és az Apache 2.0 licenc alatt kerülnek kiadásra.
Az alkatrész A Rekor rendszerleíró adatbázis megvalósítást tartalmaz a digitálisan aláírt metaadatok tárolására amelyek a projektekkel kapcsolatos információkat tükrözik. Az integritás és az adatsérülés elleni védelem biztosítása érdekében Merkle Tree struktúrát használnak, amelyben minden egyes ág ellenőrzi az összes mögöttes ágat és csomópontot közös hash-en (fán) keresztül. A záró hash birtokában a felhasználó ellenőrizheti a teljes műveleti előzmény helyességét, valamint a múltbeli adatbázisállapotok helyességét (az új adatbázisállapot gyökérellenőrző kivonata a múlt állapot figyelembevételével kerül kiszámításra). Az új rekordok ellenőrzéséhez és hozzáadásához egy RESTful API, valamint egy parancssori felület áll rendelkezésre.
Az alkatrész fulcius (SigStore WebPKI) tartalmaz egy rendszert a hitelesítési hatóságok létrehozására (root CA), amelyek rövid élettartamú tanúsítványokat bocsátanak ki az OpenID Connecten keresztül hitelesített e-mailek alapján. A tanúsítvány élettartama 20 perc, ezalatt a fejlesztőnek ideje kell hogy legyen digitális aláírás generálására (ha a tanúsítvány a jövőben támadó kezébe kerül, már lejár). Is, a projekt a Cosign eszköztárat fejleszti (Container Signing), amelyet arra terveztek, hogy aláírásokat generáljon tárolókhoz, ellenőrizze az aláírásokat és helyezze el az aláírt tárolókat az OCI (Open Container Initiative) kompatibilis tárolókban.
A bevezetés A Sigstore lehetővé teszi a szoftverterjesztési csatornák biztonságának növelését valamint a könyvtár- és függőségi helyettesítést (ellátási láncot) célzó támadások elleni védelem. A nyílt forráskódú szoftverek egyik kulcsfontosságú biztonsági problémája a program forrásának és az összeállítási folyamat ellenőrzésének nehézsége.
A digitális aláírások verzióellenőrzésre való használata még nem terjedt el a kulcskezeléssel, a nyilvános kulcsok terjesztésével és a feltört kulcsok visszavonásával kapcsolatos nehézségek miatt. Ahhoz, hogy az ellenőrzésnek értelme legyen, megbízható és biztonságos folyamatot kell megszervezni a nyilvános kulcsok és ellenőrző összegek elosztására. Sok felhasználó még digitális aláírás esetén is figyelmen kívül hagyja az ellenőrzést, mert időbe telik, amíg megtanulják az ellenőrzési folyamatot, és megértik, hogy melyik kulcs megbízható.
A projekt a Google nonprofit Linux Foundation, a Red Hat, a Cisco, a vmWare, a GitHub és a HP Enterprise égisze alatt zajlik, az OpenSSF (Open Source Security Foundation) és a Purdue University részvételével.
Végül, ha érdekli, hogy többet tudjon meg róla, olvassa el a részleteket a következő link.