Sigstore ၏ cryptographic အတည်ပြုခြင်းစနစ်အား ထုတ်ပြန်ကြေညာခဲ့သည်။

Google သည် Sigstore ပရောဂျက်ကို ဖွဲ့စည်းထားသော အစိတ်အပိုင်းများ၏ ပထမဆုံးတည်ငြိမ်သောထုတ်ဝေမှုများကို ကြေညာခဲ့ပြီး၊ ၎င်းကို ထုတ်လုပ်မှုဖြန့်ကျက်ရန် အသင့်ဖြစ်နေပြီဟု ကြေငြာခဲ့သည်။ Sigstore သည် ဒစ်ဂျစ်တယ်လက်မှတ်များကို အသုံးပြု၍ ဆော့ဖ်ဝဲလ်အတည်ပြုခြင်းနှင့် ပြောင်းလဲမှုများ၏ စစ်မှန်မှုကို အတည်ပြုသည့် အများပြည်သူမှတ်တမ်း (ပွင့်လင်းမြင်သာမှုမှတ်တမ်း) ကို ထိန်းသိမ်းခြင်းအတွက် ကိရိယာများနှင့် ဝန်ဆောင်မှုများကို တီထွင်သည်။ ဤပရောဂျက်ကို အကျိုးအမြတ်မယူသောအဖွဲ့အစည်းတစ်ခု၏ ကြီးကြပ်မှုအောက်တွင် တီထွင်နေပါသည်။ Linux Google၊ Red Hat၊ Cisco၊ vmWare၊ GitHub နှင့် HP Enterprise တို့၏ ဖောင်ဒေးရှင်းဖြစ်ပြီး Open Source Security Foundation (OpenSSF) နှင့် Purdue University မှ ပါဝင်ဆောင်ရွက်သည်။

Sigstore သည် ကုဒ်အတွက် ဒစ်ဂျစ်တယ်လက်မှတ်ထိုးခြင်းအတွက် လက်မှတ်များနှင့် အလိုအလျောက်အတည်ပြုခြင်းအတွက် ကိရိယာများကို ပံ့ပိုးပေးသည့် ကုဒ်အတွက် Let's Encrypt အဖြစ် ယူဆနိုင်သည်။ Sigstore ကိုအသုံးပြုခြင်းဖြင့် developer များသည် ထုတ်ပေးသည့်ဖိုင်များ၊ ကွန်တိန်နာပုံများ၊ manifests နှင့် executable များကဲ့သို့သော အပလီကေးရှင်းနှင့်သက်ဆိုင်သည့် ရှေးဟောင်းပစ္စည်းများအတွက် ဒစ်ဂျစ်တယ်လက်မှတ်များကို ထုတ်လုပ်နိုင်သည်။ လက်မှတ်ဒေတာကို အတည်ပြုခြင်းနှင့် စာရင်းစစ်ခြင်းအတွက် အသုံးပြုနိုင်သည့် ဆော့ဖ်ဝဲကို သက်သေပြသည့် အများသူငှာမှတ်တမ်းတွင် မှတ်တမ်းတင်ထားသည်။

အမြဲတမ်းသော့များအစား၊ Sigstore သည် OpenID Connect ဝန်ဆောင်မှုပေးသူများမှ အတည်ပြုထားသော အထောက်အထားများပေါ်တွင် အခြေခံ၍ ထုတ်လုပ်ထားသော ခဏတာသော့များကို အသုံးပြုသည် (ဒစ်ဂျစ်တယ်လက်မှတ်တစ်ခုဖန်တီးရန် လိုအပ်သောသော့များကို ထုတ်လုပ်သည့်အခါ ဆော့ဖ်ဝဲအင်ဂျင်နီယာသည် အီးမေးလ်လိပ်စာတစ်ခုနှင့် ချိတ်ဆက်ထားသော OpenID ဝန်ဆောင်မှုပေးသူမှတစ်ဆင့် ၎င်းတို့ကို စစ်မှန်ကြောင်းအထောက်အထားပြသည်)။ သော့များ၏ စစ်မှန်ကြောင်းကို အများသူငှာ ဗဟိုချုပ်ကိုင်ထားသော မှတ်တမ်းတစ်ခုနှင့် ဆန့်ကျင်ပြီး လက်မှတ်ကို ရေးသားသူသည် ၎င်းတို့ဟု ဆိုထားသည့် မည်သူဖြစ်ကြောင်းနှင့် ယခင်ထုတ်ဝေမှုအတွက် တာဝန်ရှိသည့် တူညီသောပါဝင်သူမှ လက်မှတ်ထုတ်ပေးကြောင်း သေချာစေပါသည်။

အကောင်အထည်ဖော်ရန်အတွက် Sigstore ၏ အဆင်သင့်သည် APIs များကို တည်ငြိမ်ကြောင်းကြေငြာထားပြီး နောက်ပြန်တွဲဖက်ရှိနေမည့် အဓိကအစိတ်အပိုင်းနှစ်ခုဖြစ်သည့် Rekor 1.0 နှင့် Fulcio 1.0 တို့၏ ထုတ်ဝေမှုများအပေါ် အခြေခံထားသည်။ ဝန်ဆောင်မှုအစိတ်အပိုင်းများကို Go တွင်ရေးသားထားပြီး Apache 2.0 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။

Rekor အစိတ်အပိုင်းတွင် ပရောဂျက်အချက်အလက်ကို ထင်ဟပ်စေသော ဒစ်ဂျစ်တယ်လက်မှတ်ထိုးထားသော မက်တာဒေတာကို သိမ်းဆည်းရန်အတွက် မှတ်တမ်းအကောင်အထည်ဖော်မှုတစ်ခုပါရှိသည်။ ဒေတာခိုင်မာမှုနှင့် နောက်ကြောင်းပြန်အကျင့်ပျက်ခြစားမှုမှ ကာကွယ်မှုသေချာစေရန်၊ ခွဲဝေထားသော (သစ်ပင်ကဲ့သို့) ဟက်ခြင်းမှတစ်ဆင့် ဌာနခွဲတစ်ခုစီသည် အရင်းခံအကိုင်းအခက်များနှင့် ဆုံမှတ်အားလုံးကို စစ်ဆေးသည့် Merkle Tree ဖွဲ့စည်းပုံကို အသုံးပြုပါသည်။ နောက်ဆုံး hash ဖြင့်၊ အသုံးပြုသူသည် ငွေပေးငွေယူမှတ်တမ်းတစ်ခုလုံး၏ တိကျမှုကို စစ်ဆေးနိုင်သည့်အပြင် ယခင်ဒေတာဘေ့စ်ပြည်နယ်များ၏ တိကျမှုကိုလည်း စစ်ဆေးနိုင်သည် (ဒေတာဘေ့စ်ပြည်နယ်အသစ်၏ အမြစ်အတည်ပြုခြင်း hash ကို ယခင်အခြေအနေအတိုင်း တွက်ချက်ထားသည်)။ အတည်ပြုခြင်းနှင့် မှတ်တမ်းအသစ်များထည့်ခြင်းအတွက် RESTful API နှင့် command-line interface ကို ပံ့ပိုးပေးထားသည်။

Fulcio အစိတ်အပိုင်း (SigStore WebPKI) တွင် OpenID Connect မှတစ်ဆင့် စစ်မှန်ကြောင်းသက်သေပြထားသော အီးမေးလ်လိပ်စာများကို အခြေခံ၍ သက်တမ်းတိုလက်မှတ်များကို ထုတ်ပေးသည့် လက်မှတ်အာဏာပိုင်များ (root CAs) ဖန်တီးရန်အတွက် စနစ်တစ်ခု ပါဝင်သည်။ လက်မှတ်သည် မိနစ် 20 သက်တမ်းရှိပြီး ဆော့ဖ်ဝဲရေးသားသူသည် ဒစ်ဂျစ်တယ်လက်မှတ်ထုတ်ပေးရမည် (လက်မှတ်သည် နောက်ပိုင်းတွင် တိုက်ခိုက်သူလက်သို့ ရောက်သွားပါက၊ ၎င်းသည် သက်တမ်းကုန်ဆုံးမည်)။ ပရောဂျက်သည် OCI (Open Container Initiative)-ကိုက်ညီသော သိုလှောင်ရုံများတွင် လက်မှတ်များထုတ်ပေးရန်၊ လက်မှတ်များထုတ်ပေးရန်၊ လက်မှတ်များကို အတည်ပြုခြင်းနှင့် လက်မှတ်ထိုးထားသော ကွန်တိန်နာများထားရှိခြင်းအတွက် ဒီဇိုင်းထုတ်ထားသည့် Cosign (Container Signing) ကိရိယာအစုံကို တီထွင်လျက်ရှိသည်။

Sigstore ကို အကောင်အထည်ဖော်ခြင်းသည် ဆော့ဖ်ဝဲဖြန့်ချီရေးလမ်းကြောင်းများ၏ လုံခြုံရေးကို ပိုမိုကောင်းမွန်စေပြီး စာကြည့်တိုက်များနှင့် မှီခိုမှုများ (supply chain) တို့ကို အစားထိုးရန် ရည်ရွယ်သော တိုက်ခိုက်မှုများမှ ကာကွယ်ပေးသည်။ open-source software ၏ အဓိကလုံခြုံရေးစိန်ခေါ်မှုများထဲမှတစ်ခုမှာ ပရိုဂရမ်၏ရင်းမြစ်ကို အတည်ပြုရန်နှင့် တည်ဆောက်မှုလုပ်ငန်းစဉ်ကို အတည်ပြုရန် အခက်အခဲဖြစ်သည်။ ဥပမာအားဖြင့်၊ ပရောဂျက်အများစုသည် ထုတ်ဝေမှု၏မှန်ကန်မှုကိုစစ်ဆေးရန် hashes ကိုအသုံးပြုသော်လည်း စစ်မှန်ကြောင်းသက်သေပြရန်အတွက် လိုအပ်သောအချက်အလက်များကို အကာအကွယ်မဲ့စနစ်များနှင့် မျှဝေထားသောကုဒ်သိုလှောင်နေရာများတွင် သိမ်းဆည်းထားလေ့ရှိသည်။ ယင်းတို့ကို အလျှော့ပေးခြင်းဖြင့်၊ တိုက်ခိုက်သူများသည် အတည်ပြုခြင်းအတွက် လိုအပ်သောဖိုင်များကို အစားထိုးနိုင်ပြီး သံသယမဖြစ်စေဘဲ အန္တရာယ်ရှိသော အပြောင်းအလဲများကို မိတ်ဆက်နိုင်သည်။

သော့စီမံခန့်ခွဲမှု၊ အများသူငှာသော့ခွဲဝေမှုနှင့် အပေးအယူခံရသောသော့များကို ရုတ်သိမ်းခြင်းတို့ကြောင့် ဒစ်ဂျစ်တယ်လက်မှတ်များကို အသုံးပြုခြင်းသည် ကျယ်ကျယ်ပြန့်ပြန့်လက်ခံမှု မအောင်မြင်သေးပါ။ အတည်ပြုခြင်းမှာ အဓိပ္ပာယ်ရှိစေရန်အတွက်၊ အများသူငှာသော့များနှင့် checksums များဖြန့်ဝေခြင်းအတွက် ယုံကြည်စိတ်ချရပြီး လုံခြုံသောလုပ်ငန်းစဉ်တစ်ခု ထပ်လောင်းလိုအပ်ပါသည်။ ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့်ပင်၊ အသုံးပြုသူအများအပြားသည် အတည်ပြုခြင်းလုပ်ငန်းစဉ်ကို နားလည်ရန်နှင့် မည်သည့်သော့များကို ယုံကြည်စိတ်ချရကြောင်း ဆုံးဖြတ်ရန် အချိန်လိုအပ်သောကြောင့် အတည်ပြုချက်ကို လျစ်လျူရှုထားသည်။ Sigstore ပရောဂျက်သည် အဆင်သင့်လုပ်ထားသော၊ သက်သေပြထားသောဖြေရှင်းချက်ကို ပံ့ပိုးပေးခြင်းဖြင့် ဤလုပ်ငန်းစဉ်များကို ရိုးရှင်းစေပြီး အလိုအလျောက်လုပ်ဆောင်ရန် ရည်ရွယ်ပါသည်။

source: opennet.ru