Sigstore var uzskatīt par koda šifrēšanu, kas nodrošina sertifikātus koda ciparparakstīšanai un rīkus, lai automatizētu verifikāciju.
Google atklāja izmantojot emuāra ziņu, paziņojumu par gada pirmo stabilo versiju veidošanās sastāvdaļas, kas veido projektu ziņu veikals, kas ir pasludināts par piemērotu darba izvietojumu izveidei.
Tiem, kas nezina par Sigstore, viņiem jāzina, ka šis ir projekts, kas kura mērķis ir izstrādāt un nodrošināt programmatūras verifikācijas rīkus un pakalpojumus izmantojot ciparparakstus un uzturot publisku reģistru, kas apliecina izmaiņu autentiskumu (caurspīdīguma reģistrs).
Izmantojot Sigstore, izstrādātāji var digitāli parakstīt ar lietojumprogrammām saistīti artefakti, piemēram, laidiena faili, konteinera attēli, manifesti un izpildāmie faili. Materiāls, ko izmanto paraksts ir atspoguļots pret viltojumiem drošā publiskā ierakstā ko var izmantot pārbaudei un auditēšanai.
Pastāvīgo atslēgu vietā, Sigstore izmanto īslaicīgas īslaicīgas atslēgas kas tiek ģenerēti, pamatojoties uz OpenID Connect nodrošinātāju pārbaudītajiem akreditācijas datiem (digitālā paraksta izveidei nepieciešamo atslēgu ģenerēšanas laikā izstrādātājs tiek identificēts, izmantojot OpenID nodrošinātāju ar e-pasta saiti).
Atslēgu autentiskumu pārbauda centralizēts publiskais reģistrs, kas ļauj pārliecināties, ka paraksta autors ir tieši tas, par ko viņi sevi saka, un vai parakstu veidojis tas pats dalībnieks, kurš bija atbildīgs par iepriekšējām versijām.
Sigstore sagatavošana īstenošanai tas ir saistīts ar divu galveno komponentu versijas izveide: Rekor 1.0 un Fulcio 1.0, kuras programmēšanas saskarnes ir pasludinātas par stabilām un turpmāk saglabā saderību ar iepriekšējām versijām. Pakalpojuma komponenti ir rakstīti programmā Go un tiek izlaisti saskaņā ar Apache 2.0 licenci.
Komponents Rekor satur reģistra ieviešanu digitāli parakstītu metadatu glabāšanai kas atspoguļo informāciju par projektiem. Lai nodrošinātu integritāti un aizsardzību pret datu sabojāšanu, tiek izmantota Merkle Tree struktūra, kurā katra filiāle pārbauda visas pamatā esošās filiāles un mezglus, izmantojot kopīgu jaucējkrānu (koku). Izmantojot beigu hash, lietotājs var pārbaudīt visas operāciju vēstures pareizību, kā arī pagātnes datu bāzes stāvokļu pareizību (jaunās datu bāzes stāvokļa saknes pārbaudes hash tiek aprēķināts, ņemot vērā pagātnes stāvokli). Tiek nodrošināts RESTful API jaunu ierakstu pārbaudei un pievienošanai, kā arī komandrindas interfeiss.
Komponents fulcius (SigStore WebPKI) ietver sistēmu sertifikācijas iestāžu izveidei (saknes CA), kas izsniedz īslaicīgus sertifikātus, pamatojoties uz autentificētu e-pastu, izmantojot OpenID Connect. Sertifikāta kalpošanas laiks ir 20 minūtes, kuru laikā izstrādātājam jāpaspēj ģenerēt ciparparakstu (ja sertifikāts nākotnē nonāks uzbrucēja rokās, tam jau būs beidzies derīguma termiņš). Tāpat projekts izstrādā Cosign rīku komplektu (Konteinera parakstīšana), kas paredzēts konteineru parakstu ģenerēšanai, parakstu pārbaudei un parakstīto konteineru ievietošanai OCI (Open Container Initiative) saderīgos krātuvēs.
Programmas ieviešana Sigstore ļauj paaugstināt programmatūras izplatīšanas kanālu drošību un aizsargāt pret uzbrukumiem, kuru mērķis ir bibliotēka un atkarības aizstāšana (piegādes ķēde). Viena no galvenajām drošības problēmām atvērtā pirmkoda programmatūrā ir grūtības pārbaudīt programmas avotu un verificēt veidošanas procesu.
Ciparparakstu izmantošana versiju pārbaudei vēl nav plaši izplatīta sakarā ar grūtībām atslēgu pārvaldībā, publisko atslēgu izplatīšanā un kompromitēto atslēgu atsaukšanā. Lai pārbaudei būtu jēga, ir arī jāorganizē uzticams un drošs publisko atslēgu un kontrolsummu izplatīšanas process. Pat ar digitālo parakstu daudzi lietotāji ignorē verifikāciju, jo ir nepieciešams laiks, lai apgūtu verifikācijas procesu un saprastu, kura atslēga ir uzticama.
Projekts tiek izstrādāts bezpeļņas Linux Foundation Google, Red Hat, Cisco, vmWare, GitHub un HP Enterprise aizgādībā, piedaloties OpenSSF (Open Source Security Foundation) un Purdue University.
Visbeidzot, ja jūs interesē iespēja uzzināt vairāk par to, varat iepazīties ar informāciju šo saiti.