Ang Red Hat at Google, kasama ang Purdue University kamakailan ay inihayag ang pagtatatag ng proyekto ng Sigstore, na layunin ay upang lumikha ng mga tool at serbisyo upang mapatunayan ang software gamit ang mga digital na lagda at mapanatili ang isang pampublikong pagpapatala sa transparency. Ang proyekto ay bubuo sa ilalim ng pangangasiwa ng Linux Foundation, isang samahang hindi kumikita.
Ang ipinanukalang proyekto mapahusay ang seguridad ng mga channel ng pamamahagi ng software at protektahan laban sa mga naka-target na pag-atake upang mapalitan ang mga bahagi ng software at dependency (supply chain). Ang isa sa mga pangunahing alalahanin sa seguridad sa bukas na mapagkukunan ng software ay ang kahirapan sa pagpapatunay ng mapagkukunan ng programa at pag-verify ng proseso ng pagbuo.
Hal upang mapatunayan ang integridad ng isang bersyon, karamihan sa mga proyekto ay gumagamit ng hash, Ngunit madalas ang impormasyong kinakailangan para sa pagpapatotoo ay nakaimbak sa mga hindi protektadong mga system at sa mga nakabahaging repository ng code, bilang isang resulta ng kompromiso kung saan maaaring palitan ng mga umaatake ang mga file na kinakailangan para sa pagpapatunay at nang hindi pinukaw ang hinala, ipakilala ang mga nakakahamak na pagbabago.
Ang isang minorya lamang ng mga proyekto ang gumagamit ng mga digital na lagda upang ipamahagi ang mga paglabas dahil sa mga pagiging kumplikado ng pangunahing pamamahala, ang pamamahagi ng mga pampublikong susi at ang pagbawi ng mga nakompromisong mga susi. Upang magkaroon ng katuturan ang pag-verify, kailangan mo ring ayusin ang isang maaasahan at ligtas na proseso para sa pamamahagi ng mga pampublikong key at checkum. Kahit na may isang digital na lagda, maraming mga gumagamit ang hindi pinapansin ang pag-verify dahil nangangailangan ng oras upang pag-aralan ang proseso ng pag-verify at maunawaan kung aling mga key ang pinagkakatiwalaan.
Tungkol sa Sigstore
Ang Sigstore ay na-promosyon bilang isang analog na Let's Encrypt para sa code, ppagbibigay ng mga sertipiko para sa pag-sign sa digital code at mga tool upang i-automate ang pag-verify. Sa Sigstore, maaaring digital na lumagda ang mga developer ng mga artifact na nauugnay sa application tulad ng paglulunsad ng mga file, mga lalagyan na imahe, manifest, at executable. Ang isang katangian ng Sigstore ay ang materyal na ginamit para sa lagda ay makikita sa isang pampublikong talaang protektado mula sa mga pagbabago, na maaaring magamit para sa pagpapatunay at pag-awdit.
Sa halip na pare-pareho ang mga susi, Gumagamit ang Sigstore ng mga panandaliang key ng ephemeral, Nabuo ang mga ito batay sa mga kredensyal na nakumpirma ng mga tagapagbigay ng OpenID Connect (sa oras na nabuo ang mga susi para sa digital na lagda, makikilala ang developer sa pamamagitan ng tagapagbigay ng OpenID na may isang link sa email). Ang pagiging tunay ng mga susi ay nasuri laban sa sentralisadong rekord ng publiko, na nagbibigay-daan sa iyo upang matiyak na ang may-akda ng lagda ay eksakto kung sino ang inaangkin niya at na ang lagda ay nabuo ng parehong kalahok na responsable para sa nakaraang mga bersyon.
Nagbibigay ang Sigstore ng isang handa nang gamitin na serbisyo at isang hanay ng mga tool na nagbibigay-daan sa iyo upang magpatupad ng mga katulad na serbisyo sa iyong computer. Ang serbisyo ay libre sa lahat ng mga developer ng software at vendor, at ipinatupad sa isang walang kinikilingan platform: ang Linux Foundation. Ang lahat ng mga bahagi ng serbisyo ay bukas na mapagkukunan, nakasulat sa wikang Go, at ipinamamahagi sa ilalim ng lisensya ng Apache 2.0.
Sa mga bahagi na binuo, maaari itong pansinin:
- Ang Rekor: isang pagpapatupad ng isang pagpapatala upang mag-imbak ng digital na nilagdaang metadata na sumasalamin ng impormasyon tungkol sa mga proyekto. Upang garantiya ang integridad at proteksyon laban sa pagbaluktot ng data, ang istrakturang puno ng "Tree Merkle" ay ginagamit nang pabalik-balik, kung saan napatunayan ng bawat sangay ang lahat ng mga thread at pinagbabatayan na mga bahagi, salamat sa isang hash function.
- Fulcio (SigStore WebPKI) isang sistema para sa paglikha ng mga awtoridad sa sertipikasyon (Root-CA) na naglalabas ng mga maikling sertipiko batay sa mga napatunayan na email sa pamamagitan ng OpenID Connect. Ang habambuhay ng sertipiko ay 20 minuto, kung saan ang oras ng developer ay dapat magkaroon ng oras upang makabuo ng isang digital na lagda (kung sa hinaharap ang sertipiko ay nahuhulog sa mga kamay ng isang umaatake, mag-e-expire ito).
- Сosign (Container Signing) isang hanay ng mga tool upang makabuo ng mga lagda sa mga lalagyan, i-verify ang mga lagda at ilagay ang mga lalagyan na naka-sign sa mga lalagyan na sinusunod ng OCI (Open Container Initiative).
Panghuli, kung interesado kang malaman ang tungkol sa proyektong ito, maaari kang kumunsulta sa mga detalye Sa sumusunod na link.