可以将 Sigstore 视为代码的 Let's Encrypt,提供对代码进行数字签名的证书和自动化验证的工具。
谷歌揭幕 通过一篇博文,宣布 的第一个稳定版本的形成 组成项目的组件 签名商店, 它被声明适合创建工作部署。
对于那些不知道 Sigstore 的人来说,他们应该知道这是一个项目 旨在开发和提供用于软件验证的工具和服务 使用数字签名并维护一个公共注册表,以确认更改的真实性(透明度注册表)。
使用 Sigstore, 开发人员可以进行数字签名 与应用程序相关的工件,例如发布文件、容器映像、清单和可执行文件。 用于的材料 签名反映在防篡改的公共记录中 可用于验证和审计。
而不是永久密钥, Sigstore 使用短暂的临时密钥 根据 OpenID Connect 提供商验证的凭据生成的证书(在生成创建数字签名所需的密钥时,通过 OpenID 提供商通过电子邮件链接识别开发人员)。
密钥的真实性由集中的公共注册表验证, 这使您可以确保签名的作者正是他们所说的身份,并且签名是由负责早期版本的同一参与者形成的。
准备Sigstore 实施 是由于 两个关键组件的版本控制: Rekor 1.0 和 Fulcio 1.0,其编程接口被声明为稳定的,并且从此保持与以前版本的兼容性。 该服务的组件是用 Go 编写的,并在 Apache 2.0 许可下发布。
组件 Rekor 包含一个注册表实现来存储数字签名的元数据 反映有关项目的信息。 为了确保完整性和防止数据损坏,使用 Merkle 树结构,其中每个分支通过联合哈希(树)验证所有底层分支和节点。 通过最终哈希,用户可以验证整个操作历史的正确性,以及数据库过去状态的正确性(数据库新状态的根校验哈希是考虑过去状态计算的)。 提供了用于检查和添加新记录的 RESTful API,以及命令行界面。
组件 富勒丘斯 (SigStore WebPKI)包括建立认证机构的系统 (根 CA)基于经过身份验证的电子邮件通过 OpenID Connect 颁发短期证书。 证书的生命周期为 20 分钟,在此期间,开发者必须有时间生成数字签名(如果证书将来落入攻击者手中,则它已经过期)。 还, 该项目开发了 Cosign 工具包 (容器签名),旨在为容器生成签名,验证签名并将签名的容器放置在符合 OCI(开放容器倡议)的存储库中。
简介 Sigstore 允许增加软件分发渠道的安全性 并防止针对库和依赖替换(供应链)的攻击。 开源软件的关键安全问题之一是验证程序来源和验证构建过程的难度。
使用数字签名进行版本验证尚未普及 由于密钥管理、公钥分发和受损密钥撤销方面的困难。 为了使验证有意义,还需要组织一个可靠且安全的过程来分发公钥和校验和。 即使使用数字签名,许多用户也会忽略验证,因为学习验证过程并了解哪个密钥是可信的需要时间。
该项目是在 Google、Red Hat、Cisco、vmWare、GitHub 和 HP Enterprise 的非营利 Linux 基金会的支持下开发的,OpenSSF(开源安全基金会)和普渡大学也参与其中。
最后,如果你有兴趣能够了解更多,可以查阅详情 以下链接。