关键组件

1. 签名工具：如 Cosign 等，用于生成签名。它使用私钥对容器镜像进行签名操作。
2. 密钥管理系统（KMS）：安全存储签名所需的私钥以及验证时使用的公钥。保证密钥的安全性，防止泄露。
3. 镜像仓库：存储容器镜像及其对应的签名信息。如 Docker Hub、Harbor 等，需要支持签名的存储和检索。
4. 验证工具：与签名工具对应，如 Cosign 也可用于验证。利用公钥验证镜像签名的真实性。

基本流程

1. 签名流程：
   • 开发者使用签名工具，借助 KMS 中存储的私钥，对构建好的容器镜像进行签名操作。签名工具会计算镜像的哈希值，并使用私钥对哈希值进行加密，生成签名文件。
   • 将容器镜像和生成的签名文件一起推送到镜像仓库。镜像仓库会将签名信息与对应的镜像关联存储。
2. 验证流程：
   • 当用户从镜像仓库拉取容器镜像时，同时会获取到镜像对应的签名文件。
   • 用户使用验证工具，从 KMS 获取公钥，对签名文件进行解密，得到原始的哈希值。
   • 验证工具重新计算拉取到的容器镜像的哈希值，并与解密得到的哈希值进行比对。如果两者一致，则说明镜像在传输过程中未被篡改，签名验证成功；否则，验证失败。