Sigstore poate fi considerat un Let's Encrypt pentru cod, oferind certificate pentru semnarea digitală a codului și instrumente pentru automatizarea verificării.
Google a dezvăluit printr-o postare pe blog, anunțul de formarea primelor versiuni stabile ale componentele care compun proiectul sigstore, care este declarat adecvat pentru crearea de implementări de lucru.
Pentru cei care nu cunosc Sigstore, ar trebui să știe că acesta este un proiect care are scopul de a dezvolta și furniza instrumente și servicii pentru verificarea software-ului utilizarea semnăturilor digitale și menținerea unui registru public care confirmă autenticitatea modificărilor (registru de transparență).
Cu Sigstore, dezvoltatorii pot semna digital artefacte legate de aplicație, cum ar fi fișiere de lansare, imagini container, manifeste și executabile. Materialul folosit pentru semnătura este reflectată într-o înregistrare publică inviolabilă care poate fi folosit pentru verificare și audit.
În loc de chei permanente, Sigstore folosește chei efemere de scurtă durată care sunt generate pe baza acreditărilor verificate de furnizorii OpenID Connect (la momentul generării cheilor necesare creării unei semnături digitale, dezvoltatorul este identificat prin intermediul furnizorului OpenID cu un link de e-mail).
Autenticitatea cheilor este verificată de un registru public centralizat, ceea ce vă permite să vă asigurați că autorul semnăturii este exact cine spune că este și că semnătura a fost formată de același participant care era responsabil pentru versiunile anterioare.
Pregătirea Sigstore pentru implementare este cauza versiunea a două componente cheie: Rekor 1.0 și Fulcio 1.0, ale căror interfețe de programare sunt declarate stabile și păstrează de acum înainte compatibilitatea cu versiunile anterioare. Componentele serviciului sunt scrise în Go și sunt lansate sub licența Apache 2.0.
Componenta Rekor conține o implementare de registru pentru a stoca metadate semnate digital care reflectă informații despre proiecte. Pentru a asigura integritatea și protecția împotriva coruperii datelor, este utilizată o structură Merkle Tree în care fiecare ramură verifică toate ramurile și nodurile subiacente prin hash (arborele) comun. Având un hash final, utilizatorul poate verifica corectitudinea întregului istoric al operațiunii, precum și corectitudinea stărilor trecute ale bazei de date (hash-ul de verificare rădăcină a noii stări a bazei de date este calculat luând în considerare starea trecută). Este furnizat un API RESTful pentru verificarea și adăugarea de noi înregistrări, precum și o interfață de linie de comandă.
Componenta fulcius (SigStore WebPKI) include un sistem de creare a autorităților de certificare (CA rădăcină) care emit certificate de scurtă durată bazate pe e-mailul autentificat prin OpenID Connect. Durata de viață a certificatului este de 20 de minute, timp în care dezvoltatorul trebuie să aibă timp să genereze o semnătură digitală (dacă certificatul va ajunge pe viitor în mâinile unui atacator, acesta va fi deja expirat). De asemenea, proiectul dezvoltă setul de instrumente Cosign (Container Signing), conceput pentru a genera semnături pentru containere, pentru a verifica semnăturile și pentru a plasa containerele semnate în depozite conforme cu OCI (Open Container Initiative).
Introducerea Sigstore permite creșterea securității canalelor de distribuție a software-ului și protejați împotriva atacurilor care vizează înlocuirea bibliotecii și a dependențelor (lanțul de aprovizionare). Una dintre problemele cheie de securitate în software-ul open source este dificultatea de a verifica sursa programului și de a verifica procesul de construire.
Utilizarea semnăturilor digitale pentru verificarea versiunilor nu este încă larg răspândită din cauza dificultăților de gestionare a cheilor, distribuției cheilor publice și revocării cheilor compromise. Pentru ca verificarea să aibă sens, este, de asemenea, necesar să se organizeze un proces de încredere și sigur pentru distribuirea cheilor publice și a sumelor de control. Chiar și cu o semnătură digitală, mulți utilizatori ignoră verificarea, deoarece este nevoie de timp pentru a învăța procesul de verificare și a înțelege ce cheie este de încredere.
Proiectul este dezvoltat sub auspiciile Fundației Linux nonprofit Google, Red Hat, Cisco, vmWare, GitHub și HP Enterprise, cu participarea OpenSSF (Open Source Security Foundation) și a Universității Purdue.
În cele din urmă, dacă sunteți interesat să puteți afla mai multe despre aceasta, puteți consulta detaliile în următorul link.