Sigstore può essere considerato un Let's Encrypt per il codice, che fornisce certificati per firmare digitalmente il codice e strumenti per automatizzare la verifica.
Google ha presentato attraverso un post sul blog, l'annuncio di la formazione delle prime versioni stabili di le componenti che compongono il progetto sigstore, che viene dichiarato idoneo a creare schieramenti funzionanti.
Per coloro che non sono a conoscenza di Sigstore, dovrebbero sapere che questo è un progetto che ha lo scopo di sviluppare e fornire strumenti e servizi per la verifica del software utilizzando firme digitali e mantenendo un registro pubblico che conferma l'autenticità delle modifiche (registro della trasparenza).
Con Sign Store, gli sviluppatori possono firmare digitalmente artefatti correlati all'applicazione come file di rilascio, immagini del contenitore, manifest ed eseguibili. Il materiale utilizzato per la firma si riflette in un registro pubblico a prova di manomissione che può essere utilizzato per la verifica e l'auditing.
Invece di chiavi permanenti, Sigstore utilizza chiavi temporanee di breve durata che vengono generati in base alle credenziali verificate dai provider OpenID Connect (al momento della generazione delle chiavi necessarie per creare una firma digitale, lo sviluppatore viene identificato tramite il provider OpenID con un link di posta elettronica).
L'autenticità delle chiavi è verificata da un registro pubblico centralizzato, che ti consente di assicurarti che l'autore della firma sia esattamente chi dice di essere e che la firma sia stata formata dallo stesso partecipante responsabile delle versioni precedenti.
La preparazione di Sigstore per l'attuazione è dovuto al versionamento di due componenti chiave: Rekor 1.0 e Fulcio 1.0, le cui interfacce di programmazione sono dichiarate stabili e d'ora in poi mantengono la compatibilità con le versioni precedenti. I componenti del servizio sono scritti in Go e sono rilasciati sotto la licenza Apache 2.0.
Il componente Rekor contiene un'implementazione del registro per archiviare i metadati con firma digitale che riflettono informazioni sui progetti. Per garantire l'integrità e la protezione contro il danneggiamento dei dati, viene utilizzata una struttura Merkle Tree in cui ogni ramo verifica tutti i rami ei nodi sottostanti tramite hash (albero) congiunto. Avendo un hash finale, l'utente può verificare la correttezza dell'intera cronologia delle operazioni, nonché la correttezza degli stati passati del database (l'hash del controllo radice del nuovo stato del database viene calcolato considerando lo stato passato). Viene fornita un'API RESTful per il controllo e l'aggiunta di nuovi record, nonché un'interfaccia a riga di comando.
Il componente fulcio (SigStoreWebPKI) comprende un sistema per la creazione di autorità di certificazione (CA radice) che emettono certificati di breve durata basati su e-mail autenticate tramite OpenID Connect. La durata del certificato è di 20 minuti, durante i quali lo sviluppatore deve avere il tempo di generare una firma digitale (se il certificato cade nelle mani di un aggressore in futuro, sarà già scaduto). Anche, il progetto sviluppa il toolkit Cosign (Container Signing), progettato per generare firme per contenitori, verificare firme e posizionare contenitori firmati in repository conformi a OCI (Open Container Initiative).
L'introduzione di Sigstore consente di aumentare la sicurezza dei canali di distribuzione del software e protegge dagli attacchi mirati alla sostituzione delle librerie e delle dipendenze (catena di fornitura). Uno dei principali problemi di sicurezza nel software open source è la difficoltà di verificare l'origine del programma e il processo di compilazione.
L'uso delle firme digitali per la verifica della versione non è ancora diffuso a causa di difficoltà nella gestione delle chiavi, nella distribuzione delle chiavi pubbliche e nella revoca delle chiavi compromesse. Affinché la verifica abbia senso, è anche necessario organizzare un processo affidabile e sicuro per la distribuzione di chiavi pubbliche e checksum. Anche con una firma digitale, molti utenti ignorano la verifica perché ci vuole tempo per imparare il processo di verifica e capire quale chiave è affidabile.
Il progetto è stato sviluppato sotto gli auspici della Linux Foundation senza scopo di lucro di Google, Red Hat, Cisco, vmWare, GitHub e HP Enterprise con la partecipazione di OpenSSF (Open Source Security Foundation) e della Purdue University.
Infine, se sei interessato a poterne saperne di più, puoi consultare i dettagli in il seguente collegamento.