Cosign项目中的时间戳验证问题与解决方案

在Sigstore生态系统的Cosign工具中，时间戳验证功能对于确保数字签名的时间有效性至关重要。本文将深入分析Cosign在处理不同格式签名包时的时间戳验证机制差异，以及如何正确配置信任根来解决验证失败的问题。

问题背景

Cosign支持两种签名包格式：传统JSON格式和新型Protobuf格式。用户在使用Protobuf格式签名包时遇到了时间戳验证失败的问题，而传统格式却能正常工作。错误提示显示"threshold not met for verified signed timestamps: 0 < 1"，表明系统未能验证任何时间戳签名。

根本原因分析

经过深入调查，发现问题源于两个关键因素：

1. TUF客户端实现差异：Cosign使用的传统TUF客户端与sigstore-go使用的新客户端在处理证书链时存在行为差异。

2. 证书链配置错误：用户为FreeTSA时间戳机构配置的信任根文件中同时包含了根证书和叶证书，但顺序不正确。sigstore-go期望证书链中最后一个证书为信任锚（根证书），而用户提供的顺序恰好相反。

技术细节

时间戳验证过程中，验证器会检查证书链中每个证书的扩展密钥用法(EKU)标志。对于时间戳机构：

• 叶证书必须包含时间戳签名扩展
• 中间证书和根证书不应包含此扩展（作为CA证书）

当信任根文件中错误地包含了叶证书且顺序不正确时，sigstore-go会将根证书误判为中间证书，并错误地检查其EKU标志，导致验证失败。

解决方案

要解决此问题，需要正确配置信任根文件：

1. 仅包含CA证书：最简单的解决方案是信任根中只包含时间戳机构的根证书，不包含叶证书。验证时将使用签名中嵌入的叶证书。

2. 正确排序证书链：如果需要包含完整证书链，必须确保顺序正确——叶证书在前，中间证书（如有）居中，根证书在最后。

最佳实践建议

1. 对于FreeTSA等仅提供根证书和叶证书（无中间证书）的机构，建议信任根中只包含根证书。

2. 验证配置时，可以使用openssl等工具检查证书的扩展密钥用法，确保各证书角色正确。

3. 在升级到Protobuf格式签名包时，需要特别注意信任根的配置与旧格式可能不同。

结论

Cosign工具中不同签名包格式使用不同的验证后端，导致了时间戳验证行为差异。通过正确理解证书链验证机制和合理配置信任根，可以确保时间戳验证在各种格式下都能正常工作。这一经验也提醒我们，在安全工具链升级时，需要仔细检查所有依赖组件的兼容性和配置要求。