Sigstore, hệ thống xác minh mật mã đã ổn định

Google ra mắt thông qua một bài đăng trên blog, thông báo về sự hình thành của các phiên bản ổn định đầu tiên của các thành phần tạo nên dự án cửa hàng, được khai báo phù hợp để tạo triển khai hoạt động.

Đối với những người chưa biết về Sigstore, họ nên biết rằng đây là một dự án có mục đích phát triển và cung cấp các công cụ và dịch vụ để xác minh phần mềm sử dụng chữ ký điện tử và duy trì một cơ quan đăng ký công khai xác nhận tính xác thực của các thay đổi (đăng ký minh bạch).

Với Sigstore, các nhà phát triển có thể ký điện tử tạo tác liên quan đến ứng dụng như tệp phát hành, hình ảnh vùng chứa, tệp kê khai và tệp thực thi. Vật liệu được sử dụng cho chữ ký được phản ánh trong một hồ sơ công khai chống giả mạo có thể được sử dụng để xác minh và kiểm toán.

Thay vì khóa vĩnh viễn, Sigstore sử dụng các khóa tạm thời tồn tại trong thời gian ngắn được tạo dựa trên thông tin đăng nhập được xác minh bởi nhà cung cấp OpenID Connect (tại thời điểm tạo khóa cần thiết để tạo chữ ký điện tử, nhà phát triển được xác định thông qua nhà cung cấp OpenID bằng liên kết email).

Tính xác thực của các khóa được xác minh bởi cơ quan đăng ký công cộng tập trung, điều này cho phép bạn đảm bảo rằng tác giả của chữ ký chính xác là người mà họ nói và chữ ký đó được hình thành bởi cùng một người tham gia chịu trách nhiệm về các phiên bản trước đó.

Sự chuẩn bị của Sigstore để thực hiện là do phiên bản của hai thành phần chính: Rekor 1.0 và Fulcio 1.0, có giao diện lập trình được tuyên bố là ổn định và từ đó vẫn giữ được khả năng tương thích với các phiên bản trước. Các thành phần của dịch vụ được viết bằng Go và được phát hành theo giấy phép Apache 2.0.

Thanh phân Rekor chứa triển khai sổ đăng ký để lưu trữ siêu dữ liệu được ký kỹ thuật số phản ánh thông tin về các dự án. Để đảm bảo tính toàn vẹn và bảo vệ chống lại sự hỏng dữ liệu, cấu trúc Merkle Tree được sử dụng trong đó mỗi nhánh xác minh tất cả các nhánh và nút cơ bản thông qua băm chung (cây). Bằng cách có một băm cuối cùng, người dùng có thể xác minh tính đúng đắn của toàn bộ lịch sử hoạt động, cũng như tính đúng đắn của các trạng thái trong quá khứ của cơ sở dữ liệu (băm kiểm tra gốc của trạng thái mới của cơ sở dữ liệu được tính theo trạng thái trong quá khứ). Một API RESTful để kiểm tra và thêm các bản ghi mới được cung cấp, cũng như một giao diện dòng lệnh.

Thanh phân fulcius (SigStore WebPKI) bao gồm một hệ thống để tạo cơ quan cấp chứng chỉ (root CA) cấp các chứng chỉ tồn tại trong thời gian ngắn dựa trên email được xác thực qua OpenID Connect. Thời gian tồn tại của chứng chỉ là 20 phút, trong thời gian đó nhà phát triển phải có thời gian để tạo chữ ký điện tử (nếu chứng chỉ rơi vào tay kẻ tấn công trong tương lai, chứng chỉ sẽ hết hạn). Cũng thế, dự án phát triển bộ công cụ Cosign (Container Signing), được thiết kế để tạo chữ ký cho container, xác minh chữ ký và đặt các container đã ký vào kho lưu trữ tuân thủ OCI (Open Container Initiative).

Sự ra đời của Sigstore cho phép tăng cường bảo mật cho các kênh phân phối phần mềm và bảo vệ chống lại các cuộc tấn công nhắm mục tiêu vào thư viện và sự thay thế phụ thuộc (chuỗi cung ứng). Một trong những vấn đề bảo mật quan trọng trong phần mềm nguồn mở là khó khăn trong việc xác minh nguồn của chương trình và xác minh quá trình xây dựng.

Việc sử dụng chữ ký điện tử để xác minh phiên bản vẫn chưa phổ biến do khó khăn trong việc quản lý khóa, phân phối khóa công khai và thu hồi các khóa bị xâm phạm. Để xác minh có ý nghĩa, cũng cần tổ chức một quy trình đáng tin cậy và an toàn để phân phối khóa công khai và tổng kiểm tra. Ngay cả với chữ ký điện tử, nhiều người dùng bỏ qua xác minh vì phải mất thời gian tìm hiểu quy trình xác minh và hiểu khóa nào đáng tin cậy.

Dự án đang được phát triển dưới sự bảo trợ của tổ chức phi lợi nhuận Linux Foundation của Google, Red Hat, Cisco, vmWare, GitHub và HP Enterprise với sự tham gia của OpenSSF (Open Source Security Foundation) và Đại học Purdue.

Cuối cùng, nếu bạn quan tâm có thể biết thêm về nó, bạn có thể tham khảo chi tiết tại liên kết sau.