O Que É Assinatura Sem Chave (Keyless Signing)?
Keyless signing é uma abordagem, popularizada pelo cosign do Sigstore, em que a assinatura usa um par de chaves efêmero vinculado a um certificado de vida curta emitido contra uma identidade OIDC, com o evento de assinatura registrado em um log de transparência público. Nenhuma chave privada de vida longa é armazenada em lugar algum. O job de CI prova sua identidade, obtém um certificado momentâneo, assina, e a chave é descartada.
Por que isso importa
Chaves de assinatura tradicionais são um alvo prioritário de roubo e são difíceis de rotacionar. Keyless signing elimina totalmente a chave permanente, substituindo-a por uma identidade por execução e um log de transparência, o que se encaixa naturalmente no CI, já que o runner já possui uma identidade OIDC. É uma grande redução da superfície de ataque de supply chain.
Conceitos relacionados
- Construída sobre identidade de workload via OIDC
- Registra assinaturas em um log de transparência
- O cosign do Sigstore é a implementação comum