Sigstore si lahko predstavljamo kot Let's Encrypt za kodo, ki zagotavlja potrdila za digitalno podpisovanje kode in orodja za avtomatsko preverjanje.
Google je predstavil z objavo na blogu, objavo nastanek prvih stabilnih različic komponente, ki sestavljajo projekt sigstore, ki je razglašen za primernega za ustvarjanje delujočih razmestitev.
Tisti, ki ne poznajo Sigstore, morajo vedeti, da je to projekt, ki je namenjen razvoju in zagotavljanju orodij in storitev za preverjanje programske opreme uporabo digitalnega podpisa in vodenje javnega registra, ki potrjuje verodostojnost sprememb (register transparentnosti).
S Sigstore, razvijalci lahko digitalno podpišejo artefakte, povezane z aplikacijo, kot so datoteke za izdajo, slike vsebnika, manifesti in izvršljive datoteke. Material, ki se uporablja za podpis se odraža v javni evidenci, zaščiteni pred posegi ki se lahko uporablja za preverjanje in revizijo.
Namesto stalnih ključev, Sigstore uporablja kratkotrajne efemerne ključe ki so ustvarjeni na podlagi poverilnic, ki so jih preverili ponudniki OpenID Connect (v času generiranja ključev, potrebnih za ustvarjanje digitalnega podpisa, je razvijalec identificiran prek ponudnika OpenID z e-poštno povezavo).
Pristnost ključev preverja centraliziran javni register, ki vam omogoča, da se prepričate, da je avtor podpisa točno tisti, za katerega se predstavlja, in da je podpis oblikoval isti udeleženec, ki je bil odgovoren za prejšnje različice.
Priprava Sigstore za izvedbo je zaradi različica dveh ključnih komponent: Rekor 1.0 in Fulcio 1.0, katerega programski vmesniki so razglašeni za stabilne in odslej ohranjajo združljivost s prejšnjimi različicami. Komponente storitve so napisane v Go in izdane pod licenco Apache 2.0.
Komponenta Rekor vsebuje implementacijo registra za shranjevanje digitalno podpisanih metapodatkov ki odražajo informacije o projektih. Za zagotovitev celovitosti in zaščite pred poškodbami podatkov se uporablja struktura Merkle Tree, v kateri vsaka veja preveri vse osnovne veje in vozlišča prek skupnega zgoščevanja (drevesa). S končnim hashom lahko uporabnik preveri pravilnost celotne zgodovine delovanja, kot tudi pravilnost preteklih stanj baze podatkov (root check hash novega stanja baze se izračuna glede na preteklo stanje). Na voljo je RESTful API za preverjanje in dodajanje novih zapisov ter vmesnik ukazne vrstice.
Komponenta fulcij (SigStore WebPKI) vključuje sistem za ustvarjanje overiteljev (korenski CA), ki izdajajo kratkotrajna potrdila na podlagi overjene e-pošte prek OpenID Connect. Življenjska doba potrdila je 20 minut, v tem času pa mora razvijalec imeti čas za ustvarjanje digitalnega podpisa (če bo potrdilo v prihodnosti prišlo v roke napadalcu, bo že poteklo). tudi projekt razvija komplet orodij Cosign (Container Signing), zasnovan za ustvarjanje podpisov za vsebnike, preverjanje podpisov in postavitev podpisanih vsebnikov v repozitorije, skladne z OCI (Open Container Initiative).
Uvedba Sigstore omogoča povečanje varnosti distribucijskih kanalov programske opreme in zaščito pred napadi, ki ciljajo na zamenjavo knjižnice in odvisnosti (oskrbovalna veriga). Ena od ključnih varnostnih težav pri odprtokodni programski opremi je težava pri preverjanju vira programa in preverjanju postopka gradnje.
Uporaba digitalnih podpisov za preverjanje različic še ni razširjena zaradi težav pri upravljanju ključev, distribuciji javnih ključev in preklicu ogroženih ključev. Da bi bilo preverjanje smiselno, je treba organizirati tudi zanesljiv in varen proces distribucije javnih ključev in kontrolnih vsot. Tudi z digitalnim podpisom mnogi uporabniki ignorirajo preverjanje, ker je potreben čas, da se naučijo postopka preverjanja in razumejo, kateri ključ je zaupanja vreden.
Projekt se razvija pod okriljem neprofitne Linux fundacije Google, Red Hat, Cisco, vmWare, GitHub in HP Enterprise s sodelovanjem OpenSSF (Open Source Security Foundation) in Univerze Purdue.
Nazadnje, če vas zanima več o tem, se lahko obrnete na podrobnosti v naslednjo povezavo.