Sigstore——免费的、开放的、代码数字签名

今天Infoq的两篇新闻中都提到了Sigstore！一篇是Sigstore正式发布了；另一篇是关于Kubernetes最新版本发布、及它的一些新功能，其中提到了如何利用Sigstore校验Container Image的数字签名。

我们知道，传统的数字签名模式是基于PKI + CA的机制，软件发行者首先需自行生成一对密钥，分为公钥及私钥；然后向CA申请，请他们来为你的公钥进行数字签名，这个过程不仅繁琐，而且也是需要花钱的。发布软件时，发行者用自己的私钥进行签署；软件使用者用前述公钥验证签名的正确、与所发布软件的完整性。

CA的签署也是有生命周期的，所以我们后续还会需要定期更新我们的证书。

另外，证书的保管也是一个需要郑重对待的事情！

Sigstore项目最初由RedHat发起，初衷是提供一个免费的、开放的、代码数字签名机制。Sigstore的思路是：它随时根据你所登录的OpenID生成一对密钥、免费为你签署公钥、并在它的服务器上存储你的公钥、签名内容、及时间戳。因此，当你用刚刚生成的公钥签署完所需签署的内容后，就可以丢弃这个证书了。后续，最终用户则通过前述服务器得到这些信息，验证“那个时候的你的确是你”。具体解释请参见：
https://www.sigstore.dev/how-it-works

这个思路不仅简化了软件签署过程，而且免除了私钥的保管。

由于软件的安全愈来愈受到重视，软件“供应链”的安全则是其中不可或缺的一环，今后签署软件会是一个必选项，Sigstore或是一个很好的选择之一。