Sigstore dapat dianggap sebagai Let's Encrypt untuk kode, menyediakan sertifikat untuk menandatangani kode secara digital dan alat untuk mengotomatisasi verifikasi.
Google meluncurkan melalui posting blog, pengumuman pembentukan versi stabil pertama dari komponen yang membentuk proyek toko tanda tangan, yang dinyatakan cocok untuk membuat penerapan yang berfungsi.
Bagi mereka yang tidak mengetahui Sigstore, mereka harus tahu bahwa ini adalah proyek yang memiliki tujuan untuk mengembangkan dan menyediakan alat dan layanan untuk verifikasi perangkat lunak menggunakan tanda tangan digital dan memelihara registri publik yang menegaskan keaslian perubahan (transparency registry).
Dengan Sigstore, pengembang dapat menandatangani secara digital artefak terkait aplikasi seperti file rilis, gambar kontainer, manifes, dan yang dapat dieksekusi. Bahan yang digunakan untuk tanda tangan tercermin dalam catatan publik yang tidak dapat dirusak yang dapat digunakan untuk verifikasi dan audit.
Alih-alih kunci permanen, Sigstore menggunakan kunci fana berumur pendek yang dihasilkan berdasarkan kredensial yang diverifikasi oleh penyedia OpenID Connect (pada saat membuat kunci yang diperlukan untuk membuat tanda tangan digital, pengembang diidentifikasi melalui penyedia OpenID dengan tautan email).
Keaslian kunci diverifikasi oleh registri publik terpusat, yang memungkinkan Anda untuk memastikan bahwa penulis tanda tangan adalah persis seperti yang mereka katakan, dan bahwa tanda tangan itu dibuat oleh peserta yang sama yang bertanggung jawab untuk versi sebelumnya.
Persiapan Sigstore untuk implementasi adalah karena versi dari dua komponen utama: Rekor 1.0 dan Fulcio 1.0, yang antarmuka pemrogramannya dinyatakan stabil dan selanjutnya mempertahankan kompatibilitas dengan versi sebelumnya. Komponen layanan ditulis dalam Go dan dirilis di bawah lisensi Apache 2.0.
Komponen Rekor berisi implementasi registri untuk menyimpan metadata yang ditandatangani secara digital yang mencerminkan informasi tentang proyek. Untuk memastikan integritas dan perlindungan terhadap korupsi data, struktur Merkle Tree digunakan di mana setiap cabang memverifikasi semua cabang dan node yang mendasarinya melalui hash bersama (pohon). Dengan memiliki hash akhir, pengguna dapat memverifikasi kebenaran seluruh riwayat operasi, serta kebenaran status database sebelumnya (hash pemeriksaan root dari status baru database dihitung dengan mempertimbangkan status sebelumnya). API RESTful untuk memeriksa dan menambahkan catatan baru disediakan, serta antarmuka baris perintah.
Komponen fulcius (SigStore WebPKI) termasuk sistem untuk membuat otoritas sertifikasi (root CA) yang mengeluarkan sertifikat berumur pendek berdasarkan email yang diautentikasi melalui OpenID Connect. Masa pakai sertifikat adalah 20 menit, di mana pengembang harus memiliki waktu untuk membuat tanda tangan digital (jika sertifikat jatuh ke tangan penyerang di masa mendatang, sertifikat itu akan kedaluwarsa). Juga, proyek mengembangkan toolkit Cosign (Penandatanganan Penampung), dirancang untuk menghasilkan tanda tangan untuk wadah, memverifikasi tanda tangan, dan menempatkan wadah yang ditandatangani di repositori yang sesuai dengan OCI (Open Container Initiative).
Pengenalan Sigstore memungkinkan untuk meningkatkan keamanan saluran distribusi perangkat lunak dan melindungi dari serangan yang menargetkan pustaka dan substitusi ketergantungan (rantai pasokan). Salah satu masalah keamanan utama dalam perangkat lunak sumber terbuka adalah sulitnya memverifikasi sumber program dan memverifikasi proses pembuatan.
Penggunaan tanda tangan digital untuk verifikasi versi belum meluas karena kesulitan dalam manajemen kunci, distribusi kunci publik, dan pencabutan kunci yang dikompromikan. Agar verifikasi masuk akal, perlu juga untuk mengatur proses yang andal dan aman untuk distribusi kunci publik dan checksum. Bahkan dengan tanda tangan digital, banyak pengguna mengabaikan verifikasi karena butuh waktu untuk mempelajari proses verifikasi dan memahami kunci mana yang tepercaya.
Proyek ini dikembangkan di bawah naungan Yayasan Linux nirlaba Google, Red Hat, Cisco, vmWare, GitHub, dan HP Enterprise dengan partisipasi OpenSSF (Open Source Security Foundation) dan Universitas Purdue.
Terakhir, jika Anda tertarik untuk mengetahuinya lebih lanjut, Anda dapat berkonsultasi detailnya di link berikut.