Red Hat ۽ گوگل، پرڊيو يونيورسٽي سان گڏ، Sigstore پروجيڪٽ ٺهرايو، جنهن جو مقصد ڊجيٽل دستخط استعمال ڪندي سافٽ ويئر جي تصديق ڪرڻ ۽ صداقت (شفافيت لاگ) جي تصديق ڪرڻ لاءِ عوامي لاگ کي برقرار رکڻ لاءِ اوزار ۽ خدمتون ٺاهڻ آهي. پروجيڪٽ غير منافع بخش تنظيم لينڪس فائونڊيشن جي سرپرستي هيٺ ترقي ڪئي ويندي.
تجويز ڪيل پروجيڪٽ سافٽ ويئر ڊسٽريبيوشن چينلز جي سيڪيورٽي کي بهتر بڻائيندو ۽ حملن جي خلاف حفاظت ڪندو جنهن جو مقصد سافٽ ويئر اجزاء ۽ انحصار (سپلائي چين) کي تبديل ڪرڻ آهي. اوپن سورس سافٽ ويئر ۾ اهم سيڪيورٽي مسئلن مان هڪ آهي پروگرام جي ماخذ جي تصديق ڪرڻ ۽ تعمير جي عمل جي تصديق ڪرڻ ۾ مشڪل. مثال طور، اڪثر منصوبا استعمال ڪندا آهن هيشز کي رليز جي سالميت جي تصديق ڪرڻ لاءِ، پر اڪثر ڪري تصديق لاءِ ضروري معلومات غير محفوظ ٿيل سسٽم ۽ شيئر ڪيل ڪوڊ ريپوزٽريز ۾ محفوظ ڪئي ويندي آهي، جنهن جي نتيجي ۾ حملي آور تصديق لاءِ ضروري فائلن کي سمجھوتا ڪري سگهن ٿا ۽ بدسلوڪي تبديليون متعارف ڪرائي سگهن ٿا. شڪ پيدا ڪرڻ کان سواءِ.
منصوبن جو صرف هڪ ننڍڙو حصو ڊجيٽل دستخط استعمال ڪندو آهي جڏهن رليز ورهائڻ ۾ مشڪلاتن جي ڪري ڪنجيون منظم ڪرڻ، عوامي چابيون ورهائڻ، ۽ سمجھوتي ڪيل چابين کي رد ڪرڻ. معنى ۾ تصديق ڪرڻ لاء، اهو پڻ ضروري آهي ته هڪ قابل اعتماد ۽ محفوظ عمل کي منظم ڪرڻ لاء عوامي چابيون ۽ چيڪسم کي ورهائڻ لاء. جيتوڻيڪ هڪ ڊجيٽل دستخط سان، ڪيترائي صارف تصديق کي نظر انداز ڪندا آهن ڇو ته انهن کي تصديق جي عمل جي مطالعي ۾ وقت گذارڻ جي ضرورت آهي ۽ اهو سمجهڻ گهرجي ته ڪهڙي چيڪ قابل اعتماد آهي.
Sigstore کي ڪوڊ لاءِ Let's Encrypt جي برابر قرار ڏنو ويو آهي، ڊجيٽل سائن ان ڪوڊ لاءِ سرٽيفڪيٽ ۽ خودڪار تصديق لاءِ اوزار مهيا ڪرڻ. Sigstore سان، ڊولپرز ڊجيٽل طور تي ايپليڪيشن سان لاڳاپيل نمونن تي دستخط ڪري سگھن ٿا جهڙوڪ رليز فائلون، ڪنٽينر تصويرون، منشور، ۽ عملدار. Sigstore جي هڪ خاص خصوصيت اها آهي ته سائن ان لاءِ استعمال ٿيل مواد ٽمپر پروف پبلڪ لاگ ۾ ظاهر ٿئي ٿو جيڪو تصديق ۽ آڊيٽنگ لاءِ استعمال ٿي سگهي ٿو.
مستقل ڪنجين جي بدران، Sigstore استعمال ڪري ٿو مختصر-رهندڙ عارضي ڪنجيون، جيڪي OpenID Connect فراهم ڪندڙن پاران تصديق ٿيل سندن جي بنياد تي ٺاهيا ويا آهن (ڊجيٽل دستخط لاءِ چاٻيون پيدا ڪرڻ وقت، ڊولپر پاڻ کي اي ميل سان ڳنڍيل OpenID فراهم ڪندڙ ذريعي سڃاڻي ٿو). چيڪن جي صداقت جي تصديق عوامي مرڪزي لاگ استعمال ڪندي ڪئي وئي آهي، جيڪا ان کي تصديق ڪرڻ ممڪن بڻائي ٿي ته دستخط جو ليکڪ اهو ئي آهي جيڪو هو دعويٰ ڪري ٿو ۽ دستخط ساڳئي شرڪت ڪندڙ طرفان ٺاهيو ويو هو جيڪو ماضي جي رليز جو ذميوار هو.
Sigstore هڪ تيار ڪيل خدمت مهيا ڪري ٿي جيڪا توهان اڳ ۾ ئي استعمال ڪري سگهو ٿا، ۽ اوزار جو هڪ سيٽ جيڪو توهان کي توهان جي پنهنجي سامان تي ساڳي خدمتن کي ترتيب ڏيڻ جي اجازت ڏئي ٿو. خدمت سڀني ڊولپرز ۽ سافٽ ويئر فراهم ڪندڙن لاءِ مفت آهي، ۽ هڪ غير جانبدار پليٽ فارم تي لڳايو ويو آهي - لينڪس فائونڊيشن. خدمت جا سڀئي حصا کليل ذريعو آهن، گو ۾ لکيل آهن ۽ Apache 2.0 لائسنس تحت ورهايل آهن.
ترقي يافته اجزاء مان اسين نوٽ ڪري سگھون ٿا:
- Rekor ڊجيٽل طور تي دستخط ٿيل ميٽا ڊيٽا کي ذخيرو ڪرڻ لاءِ لاگ ان عمل درآمد آهي جيڪو پروجيڪٽ بابت معلومات کي ظاهر ڪري ٿو. سالميت کي يقيني بڻائڻ ۽ حقيقت کان پوء ڊيٽا جي بدعنواني جي خلاف حفاظت لاء، هڪ وڻ جهڙو ڍانچي "Merkle Tree" استعمال ڪيو ويو آهي، جنهن ۾ هر شاخ سڀني هيٺان شاخن ۽ نوڊس جي تصديق ڪري ٿي، گڏيل (وڻ وانگر) هيشنگ جي مهرباني. حتمي هيش حاصل ڪرڻ سان، صارف عملن جي پوري تاريخ جي درستي جي تصديق ڪري سگهي ٿو، انهي سان گڏ ڊيٽابيس جي ماضي جي رياستن جي درستي (ڊيٽابيس جي نئين رياست جي روٽ جي تصديق واري هيش کي حساب سان حساب ڪيو ويو آهي ماضي جي حالت کي حساب ۾ رکندي. ). تصديق ڪرڻ ۽ نوان رڪارڊ شامل ڪرڻ لاء، هڪ آرام واري API مهيا ڪئي وئي آهي، انهي سان گڏ هڪ ڪلائي انٽرفيس.
- Fulcio (SigStore WebPKI) سرٽيفڪيشن اٿارٽيز (Root-CAs) ٺاهڻ لاءِ هڪ سسٽم آهي جيڪو OpenID Connect ذريعي تصديق ٿيل اي ميل جي بنياد تي مختصر مدت جي سرٽيفڪيٽ جاري ڪري ٿو. سرٽيفڪيٽ جي زندگي 20 منٽ آهي، جنهن دوران ڊولپر وٽ ڊجيٽل دستخط پيدا ڪرڻ جو وقت هوندو (جيڪڏهن سرٽيفڪيٽ بعد ۾ حملي آور جي هٿ ۾ پوي ٿو، اهو اڳ ۾ ئي ختم ٿي ويندو).
- Сosign (Container Signing) ھڪ ٽول ڪٽ آھي جنھن لاءِ ڪنٽينرز لاءِ دستخط پيدا ڪرڻ، دستخطن جي تصديق ڪرڻ ۽ دستخط ٿيل ڪنٽينرز کي ريپوزٽريز ۾ رکڻ لاءِ او سي آءِ (اوپن ڪنٽينر جي شروعات) سان مطابقت رکي ٿي.
جو ذريعو: opennet.ru