Linux Foundation, BastionZero, da Docker sun bayyana wani sabon aikin bude tushen bayanai, OpenPubKey, wanda ke haɓaka yarjejeniyar sirri mai suna don sanya hannu kan abubuwa ta hanyar dijital. An haɓaka fasahar a matsayin aikin haɗin gwiwa tsakanin BastionZero da Docker don sauƙaƙe hotunan kwantena na Docker don sanya hannu ta hanyar dijital don hana yin ɓarna da kuma tabbatar da cewa mahaliccin asali ne ya gina su. Za a haɓaka aikin a kan dandamali mai tsaka-tsaki a ƙarƙashin jagorancin ƙungiyar. Linux Gidauniya, wadda ke kawar da dogaro ga kamfanonin kasuwanci daban-daban kuma tana sauƙaƙa haɗin gwiwa da masu ba da gudummawa na ɓangare na uku. An rubuta aiwatar da ma'anar OpenPubKey a cikin Go kuma an rarraba shi ƙarƙashin lasisin Apache 2.0.
Ƙarfin OpenPubKey baya iyakance ga hotunan akwati; ana iya amfani da fasahar don tabbatar da tushen kowane albarkatu, hana dogaro da kai, da inganta tsaron hanyoyin rarraba bayanai. Misali, ana iya amfani da fasahar don tabbatar da gina software, saƙonnin mutum ɗaya, da aikatawa. Masu ƙirƙirar sa hannu kawai suna buƙatar asusu tare da sabis na buɗe ID, yayin da masu siye za su iya tabbatar da sa hannun da aka makala kuma su tabbatar da haɗin gwiwa tare da ayyana buɗe ID ɗin.
A cikin manufarsa, OpenPubKey yayi kama da wanda Google ya ƙirƙira kuma a baya aka canja shi zuwa Linux Gidauniyar ta yi kama da tsarin Sigstore, amma ta bambanta da ita a matsayinta na mai sauƙaƙa aiwatarwa, amfani, da kulawa sosai ta hanyar kawar da sassan sabar da ke da alhakin kula da rajistar jama'a wanda ke tabbatar da sahihancin canje-canje (log ɗin bayyana gaskiya) da kuma tabbatar da aikin hukumomin ba da takardar shaida (Certificate Authority).
Maimakon tura CAs na al'ada, OpenPubKey yana amfani da ingantaccen OpenID kuma yana ɗaure sa hannun da aka ƙirƙira ga masu samar da Haɗin OpenID. A wasu kalmomi, OpenPubKey yana ba ku damar ɗaure maɓallan sirri ga takamaiman masu amfani ta amfani da masu samar da OpenID Connect (IdPs) maimakon CAs. Fasahar tana da cikakkiyar jituwa tare da masu samar da OpenID na yanzu, kamar GitHub, Azure/Microsoft, Okta, OneLogin, Keycloak, da Google, kuma baya buƙatar canje-canje ga waɗannan masu samarwa (yana amfani da daidaitaccen ID Token da mai bayarwa ya bayar, yana barin OpenPubKey don aiwatar da shi kawai ta hanyar canje-canje ga abokin ciniki na OpenID Connect).
Alamar da mai bada OpenID ya bayar an canza shi zuwa takaddun shaida, wanda a zahiri yana ɗaure ganowar OpenID Connect zuwa maɓallin jama'a. Sannan mai amfani yana amfani da maɓallin da aka ƙirƙira don sanya hannu kan kowane bayanai, kuma waɗannan sa hannu za a iya tabbatar da su daga baya akan mai gano Haɗin OpenID. OpenPubKey yana amfani da maɓallan ephemeral tare da iyakataccen rayuwa - ana ƙirƙira maɓallai yayin shiga OpenID kuma ana share su lokacin da zaman tare da mai bada OpenID ya ƙare.
Ƙimar algorithm don ƙirƙirar sa hannu ta amfani da OpenPubKey:
- Shiga ta amfani da mai bada OpenID (Google, GitHub, Microsoft, da sauransu).
- Nemi alamar ID daga mai bada OpenID.
- Dawo da alamar da aka sanya hannu tare da maɓallin mai bayarwa kuma gami da filin "babu lokaci" tare da bayanan sabani da aka watsa yayin buƙatar (ana watsa hash na SHA3 na maɓalli na jama'a).
- Yin amfani da alamar da aka karɓa a gefen mai amfani azaman takaddun shaida wanda ya haɗa da mahimman bayanai.
- Haɗa alama zuwa sa hannu, kama da takaddun shaida.
Tabbatarwa ya ƙunshi bincika ko alamar da aka makala ta sami sa hannun mai bada OpenID da tabbatar da ingancin sa hannun dijital akan albarkatun ta amfani da maɓallin jama'a. Wannan yana tabbatar da cewa an sanya hannu kan albarkatun ta amfani da mai ganowa daga takaddun shaida kuma cewa an tabbatar da hakan ta sa hannun mai bada ID na OpenID. Misali, mai sa hannu na iya karɓar wata alama ta Google OpenID mai bada sa hannun wanda ke nuna cewa an tabbatar da su a matsayin bob@gmail.com kuma suna amfani da maɓallin jama'a 0x54A5...FF. Sannan, lokacin karɓar saƙon da aka sanya wa hannu tare da maɓalli iri ɗaya, mai karɓa zai iya amfani da alamar sa hannun mai samarwa don tabbatar da cewa maɓallin bob@gmail.com shine 0x54A5...FF kuma lallai bob@gmail.com ne ya sa hannu akan saƙon.
Ana samun sauƙaƙan tsarin gine-gine ta wasu ɓangarorin kasuwanci (kamar dogaro ga masu samar da OpenID na waje da kuma rashin canjin log tare da hashing na matsayi), waɗanda abin karɓa ne a wasu yanayi ba a wasu ba. Don rage dogaro ga masu samar da OpenID, waɗanda sasantawa ko ayyukansu na ma'aikatansu na iya bata sunan tsarin (misali, idan ɗan gwanin kwamfuta ya yi sulhu da mai ba da sabis, za su iya ba da maɓallin karya ga wani ɓangare na uku), an ba da shawarar yin amfani da ƙarin, amma na zaɓi, MFA-Cosigner (Multi-Factor Authentication Cosigner) don mai samar da abubuwa da yawa ba dole ba ne kawai ya sanya hannu kan mai ba da izini ta hanyar tabbatarwa ta farko amma kuma dole ne a tabbatar da shi ta farko. sabis na tabbatarwa wanda ke tabbatar da mai amfani).
Wani rauni na OpenPubKey shine kasancewar bayanan ɓangare na uku waɗanda za a iya amfani da su don bin diddigin ayyuka na dogon lokaci, ba tare da la’akari da sake suna ba (sake amfani da alamar tantancewa maimakon sabuwar takardar shaida). Daure kai tsaye zuwa maɓallan Haɗin Buɗaɗɗen ID yayin tabbatarwa yana kawar da buƙatar aiwatarwa ta gefen uwar garken, amma yana dagula aiwatar da gefen abokin ciniki kuma yana barin ƙarin ɗaki don motsawa yayin kai hari ga abokin ciniki, alal misali, saboda abokin ciniki yana da alhakin juyawa maɓalli. Rashin log ɗin canji yana hana abokin ciniki gano yuwuwar ɗigon maɓalli.
source: budenet.ru
