Skip to content
Latchkey

O Que É Assinatura Sem Chave (Keyless Signing)?

Keyless signing é uma abordagem, popularizada pelo cosign do Sigstore, em que a assinatura usa um par de chaves efêmero vinculado a um certificado de vida curta emitido contra uma identidade OIDC, com o evento de assinatura registrado em um log de transparência público. Nenhuma chave privada de vida longa é armazenada em lugar algum. O job de CI prova sua identidade, obtém um certificado momentâneo, assina, e a chave é descartada.

Por que isso importa

Chaves de assinatura tradicionais são um alvo prioritário de roubo e são difíceis de rotacionar. Keyless signing elimina totalmente a chave permanente, substituindo-a por uma identidade por execução e um log de transparência, o que se encaixa naturalmente no CI, já que o runner já possui uma identidade OIDC. É uma grande redução da superfície de ataque de supply chain.

Conceitos relacionados

  • Construída sobre identidade de workload via OIDC
  • Registra assinaturas em um log de transparência
  • O cosign do Sigstore é a implementação comum

Guias relacionados