Linux පදනම, බැස්ටියන්සීරෝ සහ ඩොකර් විසින් නව විවෘත මූලාශ්ර ව්යාපෘතියක් වන ඕපන්පබ්කේ එළිදක්වා ඇති අතර එය අත්තනෝමතික වස්තූන් ඩිජිටල් ලෙස අත්සන් කිරීම සඳහා නාමික ගුප්ත ලේඛනකරණ ප්රොටෝකෝලය සංවර්ධනය කරයි. ඩිජිටල් ලෙස අත්සන් කරන ඩොකර් බහාලුම් රූප සරල කිරීම සඳහා සහ ඒවා මුල් නිර්මාණකරු විසින් ගොඩනගා ඇති බව සත්යාපනය කිරීම සඳහා බැස්ටියන්සීරෝ සහ ඩොකර් අතර ඒකාබද්ධ ව්යාපෘතියක් ලෙස මෙම තාක්ෂණය සංවර්ධනය කරන ලදී. සංවිධානයේ අනුග්රහය යටතේ මෙම ව්යාපෘතිය උදාසීන වේදිකාවක් මත සංවර්ධනය කෙරේ. Linux තනි වාණිජ සමාගම් මත යැපීම ඉවත් කරන අතර තෙවන පාර්ශවීය දායකයින් සමඟ සහයෝගීතාවය සරල කරන පදනමකි. OpenPubKey යොමු ක්රියාත්මක කිරීම Go භාෂාවෙන් ලියා Apache 2.0 බලපත්රය යටතේ බෙදා හරිනු ලැබේ.
OpenPubKey හි හැකියාවන් බහාලුම් රූපවලට පමණක් සීමා නොවේ; ඕනෑම සම්පතක මූලාශ්රය සත්යාපනය කිරීමට, යැපීම් වංචා කිරීම වැළැක්වීමට සහ දත්ත බෙදා හැරීමේ නාලිකාවල ආරක්ෂාව වැඩි දියුණු කිරීමට මෙම තාක්ෂණය භාවිතා කළ හැකිය. උදාහරණයක් ලෙස, මෘදුකාංග ගොඩනැගීම්, තනි පණිවිඩ සහ කැපවීම් සත්යාපනය කිරීමට මෙම තාක්ෂණය භාවිතා කළ හැකිය. අත්සන නිර්මාණකරුවන්ට අවශ්ය වන්නේ OpenID-සක්රීය සේවාවක් සහිත ගිණුමක් පමණක් වන අතර, පාරිභෝගිකයින්ට අමුණා ඇති අත්සන් සත්යාපනය කර ප්රකාශිත OpenID හැඳුනුම්කාරකය සමඟ ඔවුන්ගේ සම්බන්ධතාවය තහවුරු කළ හැකිය.
එහි අරමුණ අනුව, OpenPubKey ගූගල් විසින් නිර්මාණය කර පෙර මාරු කළ එකට සමාන වේ Linux පදනම සිග්ස්ටෝර් පද්ධතියට සමාන නමුත් එයින් වෙනස් වන්නේ වෙනස්කම් වල සත්යතාව තහවුරු කරන පොදු ලොගයක් (විනිවිදභාවය පිළිබඳ ලොගය) පවත්වාගෙන යාම සහ සහතික කිරීමේ බලධාරීන්ගේ (සහතික අධිකාරිය) ක්රියාකාරිත්වය සහතික කිරීම සඳහා වගකිව යුතු මධ්යගත සේවාදායක සංරචක ඉවත් කිරීමෙන් ක්රියාත්මක කිරීම, භාවිතය සහ නඩත්තුව සැලකිය යුතු ලෙස සරල කරන බැවිනි.
අභිරුචි CA යෙදවීම වෙනුවට, OpenPubKey OpenID සත්යාපනය භාවිතා කරන අතර ජනනය කරන ලද අත්සන් පවතින OpenID Connect සපයන්නන්ට බැඳ තබයි. වෙනත් වචන වලින් කිවහොත්, CA වෙනුවට OpenID Connect සපයන්නන් (IdPs) භාවිතා කරමින් නිශ්චිත පරිශීලකයින්ට ගුප්ත ලේඛන යතුරු බැඳීමට OpenPubKey ඔබට ඉඩ සලසයි. මෙම තාක්ෂණය GitHub, Azure/Microsoft, Okta, OneLogin, Keycloak සහ Google වැනි පවතින OpenID සපයන්නන් සමඟ සම්පූර්ණයෙන්ම අනුකූල වන අතර එම සැපයුම්කරුවන්ට කිසිදු වෙනසක් අවශ්ය නොවේ (එය සැපයුම්කරු විසින් සපයන ලද සම්මත ID ටෝකනයක් භාවිතා කරයි, OpenID Connect සේවාදායකයාට වෙනස්කම් හරහා පමණක් OpenPubKey ක්රියාත්මක කිරීමට ඉඩ සලසයි).
OpenID සැපයුම්කරු විසින් නිකුත් කරන ලද ටෝකනය සහතිකයක් බවට පරිවර්තනය වන අතර, එය OpenID Connect හඳුනාගැනීම පොදු යතුරට ගුප්ත ලේඛනමය වශයෙන් බැඳ තබයි. පරිශීලකයා පසුව ඕනෑම දත්තයක් අත්සන් කිරීමට ජනනය කරන ලද යතුර භාවිතා කරන අතර, මෙම අත්සන් පසුව OpenID Connect හඳුනාගැනීමේ යන්ත්රයට එරෙහිව සත්යාපනය කළ හැක. OpenPubKey සීමිත ආයු කාලයක් සහිත තාවකාලික යතුරු භාවිතා කරයි - OpenID පිවිසුමේදී යතුරු ජනනය වන අතර OpenID සැපයුම්කරු සමඟ සැසිය අවසන් වූ විට මකා දමනු ලැබේ.
OpenPubKey භාවිතයෙන් අත්සනක් නිර්මාණය කිරීම සඳහා ආසන්න ඇල්ගොරිතමයක්:
- OpenID සපයන්නෙකු (Google, GitHub, Microsoft, ආදිය) භාවිතයෙන් පුරනය වන්න.
- OpenID සපයන්නෙකුගෙන් ID ටෝකනයක් ඉල්ලන්න.
- සැපයුම්කරුගේ යතුර සමඟ අත්සන් කරන ලද සහ ඉල්ලීම අතරතුර සම්ප්රේෂණය වන අත්තනෝමතික දත්ත සහිත "nonce" ක්ෂේත්රයක් ඇතුළත් කරන ලද ටෝකනයක් ආපසු එවන්න (පොදු යතුරේ SHA3 හැෂ් සම්ප්රේෂණය වේ).
- ලැබුණු ටෝකනය පරිශීලක පැත්තෙන් ප්රධාන තොරතුරු ඇතුළත් සහතිකයක් ලෙස භාවිතා කිරීම.
- සහතිකයකට සමාන අත්සනකට ටෝකනයක් ඇමිණීම.
සත්යාපනයට ඇතුළත් වන්නේ අමුණා ඇති ටෝකනය OpenID සපයන්නා විසින් අත්සන් කර ඇත්දැයි පරීක්ෂා කිරීම සහ පොදු යතුර භාවිතයෙන් සම්පතෙහි ඩිජිටල් අත්සනෙහි වලංගුභාවය සත්යාපනය කිරීමයි. මෙය සහතිකයෙන් හඳුනාගැනීම භාවිතයෙන් සම්පත් අත්සන් කර ඇති බවත් මෙය OpenID සපයන්නාගේ අත්සනින් තහවුරු කර ඇති බවත් සත්යාපනය කරයි. උදාහරණයක් ලෙස, අත්සන් කරන්නෙකුට Google OpenID සපයන්නා විසින් අත්සන් කරන ලද ටෝකනයක් ලැබිය හැකි අතර, ඔවුන් bob@gmail.com ලෙස සත්යාපනය කර ඇති බවත් පොදු යතුර 0x54A5...FF භාවිතා කරන බවත් දක්වයි. ඉන්පසු, එම යතුරෙන් අත්සන් කළ පණිවිඩයක් ලැබුණු විට, ලබන්නාට bob@gmail.com හි යතුර 0x54A5...FF බවත් පණිවිඩය සැබවින්ම bob@gmail.com විසින් අත්සන් කර ඇති බවත් සත්යාපනය කිරීමට සැපයුම්කරු-අත්සන් කළ ටෝකනය භාවිතා කළ හැකිය.
ගෘහ නිර්මාණ ශිල්පයේ සරල කිරීම සාක්ෂාත් කරගනු ලබන්නේ ඇතැම් හුවමාරු කිරීම් (බාහිර OpenID සපයන්නන් මත යැපීම සහ ධූරාවලි හැෂිං සහිත වෙනස් කිරීමේ ලොගයක් නොමැතිකම වැනි) හරහා වන අතර ඒවා සමහර අවස්ථාවන්හිදී පිළිගත හැකි අතර අනෙක් ඒවා නොවේ. OpenID සපයන්නන් මත යැපීම අඩු කිරීම සඳහා, ඔවුන්ගේ කාර්ය මණ්ඩලයේ සම්මුතියක් හෝ ක්රියාවන් පද්ධතිය අපකීර්තියට පත් කළ හැකිය (නිදසුනක් ලෙස, හැකර් සැපයුම්කරුවෙකු සම්මුතියකට පත් කළහොත්, ඔවුන් තෙවන පාර්ශවයකට ව්යාජ යතුරක් නිකුත් කළ හැකිය), බහු-සාධක සත්යාපනය සඳහා අතිරේක, නමුත් විකල්ප, MFA-Cosigner (Multi-Factor Authentication Cosigner) භාවිතා කිරීමට යෝජනා කෙරේ (ටෝකනය ප්රාථමික සැපයුම්කරු විසින් පමණක් නොව පරිශීලකයා සත්යාපනය කරන ස්වාධීන සත්යාපන සේවාවක් විසින්ද අත්සන් කළ යුතුය).
OpenPubKey හි තවත් දුර්වලතාවයක් වන්නේ, නැවත නම් කිරීම නොසලකා (නව සහතිකයක් වෙනුවට හඳුනාගැනීමේ ටෝකනයක් නැවත භාවිතා කිරීම) දිගු කාලයක් පුරා ක්රියාකාරකම් නිරීක්ෂණය කිරීමට භාවිතා කළ හැකි තෙවන පාර්ශවීය දත්ත තිබීමයි. සත්යාපනය අතරතුර OpenID Connect යතුරු වෙත සෘජුවම බැඳීම සේවාදායක-පාර්ශ්ව ක්රියාත්මක කිරීමක අවශ්යතාවය ඉවත් කරයි, නමුත් සේවාදායක-පාර්ශ්ව ක්රියාත්මක කිරීම සැලකිය යුතු ලෙස සංකීර්ණ කරන අතර සේවාදායකයාට පහර දෙන විට උපාමාරු සඳහා වැඩි ඉඩක් තබයි, උදාහරණයක් ලෙස, සේවාදායකයා යතුරු භ්රමණය සඳහා වගකිව යුතු බැවිනි. වෙනස් කිරීමේ ලොගයක් නොමැතිකම සේවාදායකයාට විභව යතුරු කාන්දුවීම් හඳුනා ගැනීමෙන් වළක්වයි.
මූලාශ්රය: opennet.ru
