Sigstore можна розглядати як Let's Encrypt для коду, що надає сертифікати для цифрового підпису коду та інструменти для автоматизації перевірки.
Google представив через публікацію в блозі, оголошення формування перших стійких варіантів компоненти, з яких складається проект підписка, який визнано придатним для створення робочих розгортань.
Тим, хто не знає про Sigstore, слід знати, що це проект, який має на меті розробку та надання інструментів і послуг для перевірки програмного забезпечення використання цифрового підпису та ведення публічного реєстру, що підтверджує достовірність змін (реєстр прозорості).
З Sigstore, розробники можуть цифровим підписом пов’язані з програмою артефакти, такі як файли випусків, зображення контейнерів, маніфести та виконувані файли. Матеріал, який використовується для підпис відображено в захищеному від підробки публічному документі які можна використовувати для верифікації та аудиту.
Замість постійних ключів, Sigstore використовує короткочасні ефемерні ключі які генеруються на основі облікових даних, перевірених постачальниками OpenID Connect (під час генерації ключів, необхідних для створення цифрового підпису, розробник ідентифікується через постачальника OpenID за допомогою електронного посилання).
Справжність ключів перевіряється централізованим державним реєстром, що дозволяє переконатися, що автор підпису – це саме той, за кого вони себе видають, і що підпис був створений тим самим учасником, який відповідав за попередні версії.
Підготовка Sigstore для реалізації обумовлено версії двох ключових компонентів: Rekor 1.0 і Fulcio 1.0, чиї програмні інтерфейси оголошені стабільними та відтепер зберігають сумісність із попередніми версіями. Компоненти сервісу написані на Go та випущені під ліцензією Apache 2.0.
Компонент Rekor містить реалізацію реєстру для зберігання метаданих із цифровим підписом які відображають інформацію про проекти. Для забезпечення цілісності та захисту від пошкодження даних використовується структура Merkle Tree, у якій кожна гілка перевіряє всі базові гілки та вузли за допомогою спільного хешу (дерева). Маючи кінцевий хеш, користувач може перевірити правильність усієї історії операцій, а також правильність минулих станів бази даних (кореневий контрольний хеш нового стану бази даних обчислюється з урахуванням минулого стану). Надається RESTful API для перевірки та додавання нових записів, а також інтерфейс командного рядка.
Компонент fulcius (SigStore WebPKI) містить систему створення центрів сертифікації (кореневі ЦС), які видають короткострокові сертифікати на основі автентифікованої електронної пошти через OpenID Connect. Термін дії сертифіката становить 20 хвилин, за які розробник повинен встигнути згенерувати цифровий підпис (якщо сертифікат потрапить до рук зловмисника в майбутньому, термін його дії вже закінчиться). Крім того, проект розробляє інструментарій Cosign (Container Signing), розроблений для створення підписів для контейнерів, перевірки підписів і розміщення підписаних контейнерів у сумісних сховищах OCI (Open Container Initiative).
Введення Sigstore дозволяє підвищити безпеку каналів розповсюдження програмного забезпечення захист від атак, спрямованих на заміну бібліотеки та залежностей (ланцюжок поставок). Однією з ключових проблем безпеки програмного забезпечення з відкритим вихідним кодом є складність перевірки джерела програми та перевірки процесу збірки.
Використання цифрових підписів для перевірки версій ще не набуло широкого поширення через труднощі в управлінні ключами, розподілі відкритих ключів і анулюванні зламаних ключів. Щоб верифікація мала сенс, також необхідно організувати надійний і безпечний процес розподілу відкритих ключів і контрольних сум. Навіть з цифровим підписом багато користувачів ігнорують перевірку, оскільки потрібен час, щоб вивчити процес перевірки та зрозуміти, якому ключу довіряти.
Проект розробляється під егідою некомерційної організації Linux Foundation Google, Red Hat, Cisco, vmWare, GitHub і HP Enterprise за участю OpenSSF (Open Source Security Foundation) і Університету Пердью.
Нарешті, якщо вам цікаво дізнатися більше про це, ви можете ознайомитися з деталями в за наступним посиланням.