ሬድ ኮፍያ እና ጎግል ከፑርዱ ዩኒቨርሲቲ ጋር በመሆን የሲግስስቶርን ፕሮጀክት የመሰረቱት በዲጂታል ፊርማ በመጠቀም ሶፍትዌሮችን ለማረጋገጥ መሳሪያዎችን እና አገልግሎቶችን ለመፍጠር እና ትክክለኝነትን (የግልጽነት ሎግ) ለማረጋገጥ የህዝብ ምዝግብ ማስታወሻን ለመጠበቅ ያለመ ነው። ፕሮጀክቱ የሚዘጋጀው በሊኑክስ ፋውንዴሽን ለትርፍ ያልተቋቋመ ድርጅት ነው።
የታቀደው ፕሮጀክት የሶፍትዌር ማከፋፈያ ጣቢያዎችን ደህንነት ያሻሽላል እና የሶፍትዌር ክፍሎችን እና ጥገኝነቶችን (የአቅርቦት ሰንሰለት) ለመተካት ያተኮሩ ጥቃቶችን ይከላከላል። በክፍት ምንጭ ሶፍትዌር ውስጥ ካሉት ቁልፍ የደህንነት ችግሮች አንዱ የፕሮግራሙን ምንጭ የማጣራት እና የግንባታ ሂደቱን የማጣራት ችግር ነው። ለምሳሌ፣ አብዛኞቹ ፕሮጀክቶች የተለቀቀውን ትክክለኛነት ለማረጋገጥ ሃሽ ይጠቀማሉ፣ ነገር ግን አብዛኛውን ጊዜ ለማረጋገጫ አስፈላጊው መረጃ ጥበቃ በሌላቸው ስርዓቶች እና በጋራ ኮድ ማከማቻዎች ውስጥ ይከማቻል፣ በዚህ ምክንያት አጥቂዎች ለማረጋገጥ አስፈላጊ የሆኑትን ፋይሎች ሊያበላሹ እና ጎጂ ለውጦችን ሊያስተዋውቁ ይችላሉ። ጥርጣሬን ሳያሳድጉ.
ቁልፎችን በማስተዳደር ፣በህዝብ ቁልፎችን በማሰራጨት እና የተበላሹ ቁልፎችን በመሻር ላይ ባሉ ችግሮች ምክንያት ልቀቶችን ሲያሰራጩ ዲጂታል ፊርማዎችን የሚጠቀሙት ትንሽ የፕሮጀክቶች ክፍል ብቻ ነው። ማረጋገጥ ትርጉም ያለው እንዲሆን የህዝብ ቁልፎችን እና ቼኮችን ለማከፋፈል አስተማማኝ እና አስተማማኝ ሂደትን ማደራጀት አስፈላጊ ነው. በዲጂታል ፊርማ እንኳን ብዙ ተጠቃሚዎች የማረጋገጫ ሂደቱን ቸል ይላሉ ምክንያቱም የማረጋገጫ ሂደቱን በማጥናት እና የትኛው ቁልፍ እምነት የሚጣልበት እንደሆነ ለመረዳት ጊዜ ማጥፋት ስለሚያስፈልጋቸው ነው።
ሲግስቶር ኮድ በዲጂታል ፊርማ ሰርተፍኬቶችን እና በራስ ሰር የማረጋገጫ መሳሪያዎችን በማቅረብ ለኮድ እናመሰጥር ከሚለው ጋር እኩል ነው ተብሏል። በSigstore ገንቢዎች እንደ የመልቀቂያ ፋይሎች፣ የመያዣ ምስሎች፣ መግለጫዎች እና ተፈፃሚዎች ያሉ ከመተግበሪያ ጋር የተገናኙ ቅርሶችን በዲጅታዊ መንገድ መፈረም ይችላሉ። የሲግስቶር ልዩ ባህሪ ለመፈረም የሚያገለግለው ቁሳቁስ ለማረጋገጫ እና ለኦዲት በሚያገለግል የህዝብ ምዝግብ ማስታወሻ ላይ መንጸባረቁ ነው።
ከቋሚ ቁልፎች ይልቅ፣ ሲግስቶር በአጭር ጊዜ የሚቆዩ የኢፌመር ቁልፎችን ይጠቀማል፣ እነዚህም የሚመነጩት በOpenID Connect አቅራቢዎች በተረጋገጡ ምስክርነቶች ላይ ነው (ለዲጂታል ፊርማ ቁልፎችን በሚያመነጭበት ጊዜ፣ ገንቢው እራሱን ከኢሜይል ጋር በተገናኘ በOpenID አቅራቢ በኩል ያሳያል)። የቁልፎቹ ትክክለኛነት የሚረጋገጠው በሕዝብ የተማከለ ሎግ በመጠቀም ነው፣ይህም የፊርማው ፀሐፊ በትክክል ማን ነኝ የሚለው መሆኑን ለማረጋገጥ ያስችላል እና ፊርማው የተቋቋመው ላለፉት ልቀቶች ተጠያቂ በሆነው ተሳታፊ ነው።
Sigstore ሁለቱንም አስቀድመው ሊጠቀሙበት የሚችሉትን ዝግጁ አገልግሎት እና ተመሳሳይ አገልግሎቶችን በራስዎ መሳሪያ ላይ ለማሰማራት የሚያስችሉዎትን የመሳሪያዎች ስብስብ ያቀርባል። አገልግሎቱ ለሁሉም ገንቢዎች እና የሶፍትዌር አቅራቢዎች ነፃ ነው፣ እና በገለልተኛ መድረክ ላይ - ሊኑክስ ፋውንዴሽን ተዘርግቷል። ሁሉም የአገልግሎቱ ክፍሎች በGo ውስጥ የተፃፉ እና በApache 2.0 ፍቃድ የተከፋፈሉ ክፍት ምንጭ ናቸው።
ከተዘጋጁት ክፍሎች መካከል የሚከተሉትን ልብ ማለት እንችላለን-
- Rekor የፕሮጀክቶችን መረጃ የሚያንፀባርቅ በዲጂታል የተፈረመ ዲበ ውሂብ ለማከማቸት የምዝግብ ማስታወሻ ትግበራ ነው። ከእውነታው በኋላ ታማኝነትን ለማረጋገጥ እና ከውሂብ ብልሹነት ለመጠበቅ ፣ የዛፍ መሰል መዋቅር “መርክል ዛፍ” ጥቅም ላይ ይውላል ፣ በዚህ ውስጥ እያንዳንዱ ቅርንጫፍ ሁሉንም ቅርንጫፎች እና አንጓዎች የሚያረጋግጥበት የጋራ (የዛፍ መሰል) ሀሺንግ ነው። የመጨረሻውን ሃሽ ሲይዝ ተጠቃሚው የጠቅላላውን የአሠራር ታሪክ ትክክለኛነት እንዲሁም የውሂብ ጎታውን ያለፉትን ግዛቶች ትክክለኛነት ማረጋገጥ ይችላል (የአዲሱ የመረጃ ቋቱ ሁኔታ ስር የማረጋገጫ ሃሽ ያለፈውን ሁኔታ ግምት ውስጥ በማስገባት ይሰላል) ). አዲስ መዝገቦችን ለማረጋገጥ እና ለማከል፣ Restful API እንዲሁም cli interface ቀርቧል።
- Fulcio (SigStore WebPKI) በ OpenID Connect በተረጋገጠ ኢሜል ላይ በመመስረት የአጭር ጊዜ የምስክር ወረቀቶችን የሚሰጥ የምስክር ወረቀት ባለስልጣኖችን (Root-CAs) ለመፍጠር የሚያስችል ስርዓት ነው። የምስክር ወረቀቱ የህይወት ዘመን 20 ደቂቃ ነው, በዚህ ጊዜ ገንቢው ዲጂታል ፊርማ ለማመንጨት ጊዜ ሊኖረው ይገባል (የምስክር ወረቀቱ በኋላ በአጥቂ እጅ ውስጥ ከገባ, ጊዜው ያለፈበት ይሆናል).
- ሾሲንግ (የኮንቴይነር ፊርማ) ለመያዣዎች ፊርማ ለማመንጨት፣ ፊርማዎችን ለማረጋገጥ እና የተፈረሙ መያዣዎችን ከ OCI (Open Container Initiative) ጋር በሚጣጣሙ ማከማቻዎች ውስጥ ለማስቀመጥ የሚያስችል መሳሪያ ነው።
ምንጭ: opennet.ru