Sigstore kan worden gezien als een Let's Encrypt for code, met certificaten om code digitaal te ondertekenen en tools om verificatie te automatiseren.
Google onthuld via een blogpost, de aankondiging van de vorming van de eerste stabiele versies van de componenten waaruit het project bestaat sigstore, die geschikt is verklaard voor het maken van werkende implementaties.
Voor degenen die Sigstore niet kennen, moeten weten dat dit een project is dat heeft tot doel tools en diensten te ontwikkelen en te leveren voor de verificatie van software het gebruik van digitale handtekeningen en het bijhouden van een openbaar register dat de authenticiteit van de wijzigingen bevestigt (transparantieregister).
Met Sigstore, ontwikkelaars kunnen digitaal ondertekenen toepassingsgerelateerde artefacten zoals releasebestanden, containerafbeeldingen, manifesten en uitvoerbare bestanden. Het materiaal dat wordt gebruikt voor de handtekening wordt weerspiegeld in een fraudebestendig openbaar register die kunnen worden gebruikt voor verificatie en auditing.
In plaats van permanente sleutels, Sigstore gebruikt kortstondige kortstondige sleutels die worden gegenereerd op basis van de referenties die zijn geverifieerd door de OpenID Connect-providers (op het moment dat de sleutels worden gegenereerd die nodig zijn om een digitale handtekening te maken, wordt de ontwikkelaar geïdentificeerd via de OpenID-provider met een e-maillink).
De authenticiteit van de sleutels wordt geverifieerd door een gecentraliseerd openbaar register, waarmee u ervoor kunt zorgen dat de auteur van de handtekening precies is wie hij zegt dat hij is, en dat de handtekening is gevormd door dezelfde deelnemer die verantwoordelijk was voor eerdere versies.
De voorbereiding van Sigstore voor implementatie is te wijten aan versiebeheer van twee belangrijke componenten: Rekor 1.0 en Fulcio 1.0, waarvan de programmeerinterfaces stabiel zijn verklaard en voortaan compatibel blijven met eerdere versies. De componenten van de service zijn geschreven in Go en worden vrijgegeven onder de Apache 2.0-licentie.
Het onderdeel Rekor bevat een registerimplementatie om digitaal ondertekende metadata op te slaan die informatie over projecten weergeven. Om integriteit en bescherming tegen datacorruptie te garanderen, wordt een Merkle Tree-structuur gebruikt waarin elke vertakking alle onderliggende vertakkingen en knooppunten verifieert via een gezamenlijke hash (boom). Door een laatste hash te hebben, kan de gebruiker de juistheid van de gehele operatiegeschiedenis verifiëren, evenals de juistheid van eerdere staten van de database (de rootcheck-hash van de nieuwe staat van de database wordt berekend rekening houdend met de vorige staat). Er is een RESTful API voor het controleren en toevoegen van nieuwe records, evenals een opdrachtregelinterface.
Het onderdeel fulcius (SigStore WebPKI) bevat een systeem voor het creëren van certificeringsinstanties (root-CA) die kortlopende certificaten uitgeven op basis van geverifieerde e-mail via OpenID Connect. De levensduur van het certificaat is 20 minuten, waarbij de ontwikkelaar de tijd moet hebben om een digitale handtekening te genereren (als het certificaat in de toekomst in handen van een aanvaller valt, is het al verlopen). Ook, het project ontwikkelt de Cosign-toolkit (Container Signing), ontworpen om handtekeningen voor containers te genereren, handtekeningen te verifiëren en ondertekende containers in OCI (Open Container Initiative) compatibele repositories te plaatsen.
De introductie van Sigstore maakt het mogelijk om de beveiliging van softwaredistributiekanalen te vergroten en beschermen tegen aanvallen gericht op bibliotheek- en afhankelijkheidsvervanging (supply chain). Een van de belangrijkste beveiligingsproblemen bij open source-software is de moeilijkheid om de bron van het programma en het bouwproces te verifiëren.
Het gebruik van digitale handtekeningen voor versieverificatie is nog niet wijdverbreid vanwege problemen met sleutelbeheer, distributie van openbare sleutels en intrekking van gecompromitteerde sleutels. Om verificatie zinvol te laten zijn, is het ook noodzakelijk om een betrouwbaar en veilig proces te organiseren voor de distributie van openbare sleutels en controlesommen. Zelfs met een digitale handtekening negeren veel gebruikers verificatie omdat het tijd kost om het verificatieproces te leren en te begrijpen welke sleutel wordt vertrouwd.
Het project wordt ontwikkeld onder auspiciën van de non-profit Linux Foundation van Google, Red Hat, Cisco, vmWare, GitHub en HP Enterprise met deelname van OpenSSF (Open Source Security Foundation) en Purdue University.
Tot slot, als u er meer over wilt weten, kunt u de details raadplegen in de volgende link.