Eftir sjö ára þróun hefur útgáfa sq 1.0 skipanalínuverkfærasettsins, hannað til að vinna með OpenPGP artifacts, verið búið til. Verkfærakistan var unnin af Sequoia PGP verkefninu, sem einnig er að þróa aðgerðasafn með innleiðingu á OpenPGP staðlinum (RFC-4880). Útgáfa 1.0 er merkt sem fyrsta stöðuga útgáfan af verkefninu, sem þýðir að kóðagrunnurinn er stöðugur og breytingar sem brjóta eindrægni eru ekki lengur kynntar. Kóðinn er skrifaður í Rust og er dreift undir GPLv2+ leyfinu.
Verkfærakistan er innifalin í Red Hat Enterprise Linux 10 dreifingunni sem valkostur við GnuPG, er notað til að vinna með PGP í DNF og RPM pakkastjórnendum og er sjálfgefið notað í tilraunagrein APT pakkastjórans ef Sequoia íhlutir eru til staðar í kerfinu. Hagrid lyklaþjónninn búinn til af Sequoia þróunaraðilum er notaður í keys.openpgp.org þjónustunni.
Sequoia verkefnið var búið til af þremur GnuPG forriturum frá g10code, fyrirtæki sem sérhæfir sig í dulritunarkerfi endurskoðun og þróun GnuPG viðbóta. Yfirlýst markmið verkefnisins er að endurvinna arkitektúrinn og kynna nýja tækni til að bæta öryggi og áreiðanleika kóðagrunnsins. Auk þess að nota Rust tungumálið til að draga úr líkum á minnisvillum veitir Sequoia frekari villuvörn á API stigi. Til dæmis kemur API í veg fyrir að þú flytjir óvart út einkalykilsefni og verndar þig gegn því að missa af mikilvægum skrefum þegar þú uppfærir stafræna undirskrift. Fyrir frekari einangrun er þjónusta sem vinnur með opinberum og einkalyklum aðskilin í aðskilin ferli.
Til viðbótar við gpg-líka virkni fyrir dulkóðun gagna, rafrænar undirskriftir og lyklastjórnun, býður sq einnig upp á dreifðan almenningslykilinnviði (PKI). PKI er notað til að auðkenna vottorð og skilaboð og gerir þér kleift að sannreyna að móttekinn opinberi lykill og móttekin skilaboð séu tengd tilgreindum höfundi og séu ekki búin til af árásarmanni.
Þegar þú halar niður vottorði frá keys.openpgp.org eða öðrum lyklaþjóni, vistar sq tólið sjálfkrafa upplýsingar um vottorðið á staðbundnu kerfi og mun nota þessar upplýsingar í síðari aðgerðum til að bera kennsl á fölsuð vottorð. Það er tekið fram að innleitt kerfi er hægt að nota sem grunn til að byggja upp líkingu af dreifðri vottunaryfirvaldi (CA), sem nær yfir ýmsa lykilþjóna.
Til dæmis, áður en hann staðfestir áreiðanleika niðurhalaðra Qubes OS samsetninga, getur notandinn fyrst staðfest Qubes vottorðið sem gefið er út frá aðallyklaþjóni Qubes verkefnisins: sq netleit https://keys.qubes-os.org/keys/qubes -release-4.2-signing-key .asc
Tilgreind skipun mun hlaða niður vottorðinu af keys.qubes-os.org þjóninum og athuga síðan hvort það sé á þekktum lykilþjónum eins og keys.openpgp.org og keyserver.ubuntu.com, eða reyna að fá það með WKD (vef Key Directory) kerfi og DANE (DNS-Based Authentication of Named Entities). Næst mun tólið bera saman móttekin vottorð og, ef þau eru tengd sama eiganda, mun bjóða upp á að nota „sq pki link add“ skipunina til að vista vottorðið á staðbundnu kerfi fyrir síðari athuganir. Eftir vistun verður vottorðið talið áreiðanlegt og til að hlaða niður samsetningum og athuga áreiðanleika þeirra er nóg að keyra skipunina: sq download —signature-url https://mirrors.edge.kernel.org/qubes/iso/Qubes -R4.2.3-x86_64 iso.asc --url https://mirrors.edge.kernel.org/qubes/iso/Qubes-R4.2.3-x86_64.iso —output /tmp/qubes.iso
Heimild: opennet.ru
