Sigstore kan betraktes som en Let's Encrypt for kode, som gir sertifikater for digital signering av kode og verktøy for å automatisere verifisering.
Google avduket gjennom et blogginnlegg, kunngjøringen av dannelsen av de første stabile versjonene av komponentene som utgjør prosjektet Skiltbutikk, som er erklært egnet for å lage arbeidsplasseringer.
For de som ikke kjenner til Sigstore bør de vite at dette er et prosjekt som har som formål å utvikle og tilby verktøy og tjenester for verifisering av programvare bruke digitale signaturer og opprettholde et offentlig register som bekrefter ektheten av endringene (transparensregister).
Med Sigstore, utviklere kan signere digitalt applikasjonsrelaterte artefakter som utgivelsesfiler, beholderbilder, manifester og kjørbare filer. Materialet som brukes til signaturen gjenspeiles i en manipulasjonssikker offentlig journal som kan brukes til verifikasjon og revisjon.
I stedet for permanente nøkler, Sigstore bruker kortvarige flyktige nøkler som genereres basert på legitimasjonen bekreftet av OpenID Connect-leverandørene (på tidspunktet for generering av nøklene som er nødvendige for å lage en digital signatur, identifiseres utvikleren gjennom OpenID-leverandøren med en e-postlenke).
Ektheten til nøklene er verifisert av et sentralisert offentlig register, som lar deg forsikre deg om at forfatteren av signaturen er nøyaktig den de sier de er, og at signaturen ble dannet av samme deltaker som var ansvarlig for tidligere versjoner.
Utarbeidelsen av Sigstore for gjennomføring Er på grunn av versjonering av to nøkkelkomponenter: Rekor 1.0 og Fulcio 1.0, hvis programmeringsgrensesnitt er erklært stabile og fremover beholder kompatibilitet med tidligere versjoner. Komponentene til tjenesten er skrevet i Go og er utgitt under Apache 2.0-lisensen.
Komponenten Rekor inneholder en registerimplementering for å lagre digitalt signerte metadata som gjenspeiler informasjon om prosjekter. For å sikre integritet og beskyttelse mot datakorrupsjon, brukes en Merkle Tree-struktur der hver gren verifiserer alle underliggende grener og noder via felles hash (tre). Ved å ha en etterfølgende hash, kan brukeren verifisere riktigheten av hele operasjonshistorikken, samt riktigheten av tidligere databasetilstander (rotsjekkhashen til den nye databasetilstanden beregnes med tanke på tidligere tilstand). En RESTful API for å sjekke og legge til nye poster er gitt, samt et kommandolinjegrensesnitt.
Komponenten fulcius (SigStore WebPKI) inkluderer et system for å opprette sertifiseringsmyndigheter (rot-CA) som utsteder kortvarige sertifikater basert på autentisert e-post via OpenID Connect. Levetiden til sertifikatet er 20 minutter, hvor utvikleren må ha tid til å generere en digital signatur (hvis sertifikatet faller i hendene på en angriper i fremtiden, vil det allerede være utløpt). Også, prosjektet utvikler Cosign-verktøysettet (Container Signing), designet for å generere signaturer for containere, verifisere signaturer og plassere signerte containere i OCI (Open Container Initiative)-kompatible repositories.
Introduksjonen av Sigstore gjør det mulig å øke sikkerheten til programvaredistribusjonskanaler og beskytte mot angrep rettet mot bibliotek- og avhengighetssubstitusjon (forsyningskjede). Et av de viktigste sikkerhetsproblemene i åpen kildekode-programvare er vanskeligheten med å verifisere kilden til programmet og verifisere byggeprosessen.
Bruken av digitale signaturer for versjonsverifisering er ennå ikke utbredt på grunn av vanskeligheter med nøkkelhåndtering, distribusjon av offentlig nøkkel og tilbakekalling av kompromitterte nøkler. For at verifisering skal gi mening, er det også nødvendig å organisere en pålitelig og sikker prosess for distribusjon av offentlige nøkler og kontrollsummer. Selv med en digital signatur ignorerer mange brukere verifisering fordi det tar tid å lære seg bekreftelsesprosessen og forstå hvilken nøkkel som er klarert.
Prosjektet utvikles i regi av den ideelle organisasjonen Linux Foundation of Google, Red Hat, Cisco, vmWare, GitHub og HP Enterprise med deltakelse av OpenSSF (Open Source Security Foundation) og Purdue University.
Til slutt, hvis du er interessert i å kunne vite mer om det, kan du se detaljene i følgende lenke.