Skip to content
Latchkey

キーレス署名とは?

キーレス署名は、Sigstoreのcosignによって広まったアプローチで、OIDCアイデンティティに対して発行された短命な証明書に紐づく一時的な鍵ペアを使って署名し、署名イベントは公開されたtransparency logに記録されます。長期間有効な秘密鍵はどこにも保管されません。CIのjobは自身のアイデンティティを証明し、一瞬だけ有効な証明書を取得して署名し、鍵は破棄されます。

なぜ重要か

従来の署名鍵は格好の盗難対象であり、ローテーションも面倒です。キーレス署名は常設の鍵を完全に取り除き、実行ごとのアイデンティティとtransparency logに置き換えます。runnerはすでにOIDCアイデンティティを持っているため、これはCIに自然に適合します。サプライチェーンの攻撃対象領域を大幅に削減します。

関連する概念

  • OIDCのワークロードアイデンティティの上に構築される
  • 署名をtransparency logに記録する
  • Sigstoreのcosignがよくある実装

関連ガイド