sigstore是Linux Foundation项目,旨在通过简化透明日志技术支持的加密软件签名的采用,提供公共公益/非营利服务,以改善开源软件供应链。sigstore将寻求使软件开发人员能够安全地对软件工件进行签名,例如发布文件、容器映像、二进制文件、物料清单清单等,然后将签名材料存储到防篡改的公共日志中。
Sigstore演示(下图动画)
什么是sigstore? sigstore将是一个免费使用的非盈利软件签名服务,它将利用x509 PKI和透明日志的现有技术。 用户使用sigstore客户端工具生成临时的短暂密钥对。然后,sigstore PKI服务将提供在成功获得OpenID连接授权后生成的签名证书。所有证书都记录在证书透明性日志中,软件签名材料发送到签名透明性日志中。透明日志的使用将信任根引入到用户的OpenID帐户。然后,我们可以保证声明的用户在签名时已控制了身份服务提供商帐户。一旦签名操作完成,就可以丢弃密钥,从而无需进行进一步的密钥管理或撤销或旋转密钥。 使用OpenID连接身份,用户可以利用现有的安全控制,例如2FA、OTP和硬件令牌生成器。 sigstore的透明度日志可以充当来源,完整性和可发现性的来源。公开和开放的任何人都可以监视sigstore的透明日志中是否使用了他们的软件名称空间,使用工件摘要进行查询,返回由特定电子邮件地址,公钥签名的条目,等等。此外,安全研究人员可以监视日志寻找可能的可疑行为。 下图是sigstore将条目显示在透明日志中:
参考:sigstore介绍:Linux基金会推出的允许开发者为软件提供签名。
我将能够签名和存储什么? 我们最初的目标是通用发行工件,例如tarball,已编译的二进制文件和容器映像。往后,我们将探索其他格式(例如jars)和清单签名,例如SBOM等。我们还开放与包管理器合作,并简化其社区采用签名的方式。
项目的当前状态是什么? 现在,我们有了一个功能齐全的透明日志,名为“rekor”(rekor是sigstore下的透明日志项目的名称)。Rekor由服务器和客户端工具组成,用于进行输入和查询是否包含。它具有可自定义的架构框架和可插入的PKI框架。Rekor具有可插拔的PKI,并提供GPG、X509、Minisign支持:它还具有可自定义的清单架构(可插入类型),因此您可以在需要的情况下使用rekor进行处理。 目前,WebPKI和客户端签名工具尚在原型开发中,不能普遍使用。 注:现在正在进行开发基于WebPKI和OpenID连接的服务的工作,这些服务完成后将提供完整的sigstore签名基础结构。sigstore透明日志(rekor)具有OpenAPI接口,可以更轻松地直接与rekor透明日志集成。可以将您的想法传递给我们。
为什么不使用区块链? 主要是由于以下原因: 1]、具有最佳意图的公共区块链,通常最终会使用集中式入口点进行规范化,身份验证等。 2]、共识算法容易受到多数攻击。 3]、目前,透明日志在这个领域已经更加成熟,并且能够准确地提供我们所需要的。
相关主题 |