Red Hat සහ Google, Purdue විශ්ව විද්යාලය සමඟ එක්ව Sigstore ව්යාපෘතිය ආරම්භ කරන ලද අතර, ඩිජිටල් අත්සන් භාවිතයෙන් මෘදුකාංග සත්යාපනය කිරීම සඳහා මෙවලම් සහ සේවා නිර්මාණය කිරීම සහ සත්යතාව තහවුරු කිරීම සඳහා පොදු ලොගයක් පවත්වා ගැනීම අරමුණු කර ගෙන ඇත (විනිවිදභාවය ලොගය). ලාභ නොලබන සංවිධානයක් වන Linux පදනමේ අනුග්රහය යටතේ ව්යාපෘතිය සංවර්ධනය කෙරේ.
යෝජිත ව්යාපෘතිය මඟින් මෘදුකාංග බෙදාහැරීමේ නාලිකාවල ආරක්ෂාව වැඩිදියුණු කරන අතර මෘදුකාංග සංරචක සහ පරායත්තතා (සැපයුම් දාමය) ප්රතිස්ථාපනය කිරීම ඉලක්ක කරගත් ප්රහාරවලින් ආරක්ෂා වනු ඇත. විවෘත මූලාශ්ර මෘදුකාංගවල ඇති ප්රධාන ආරක්ෂක ගැටලුවලින් එකක් වන්නේ වැඩසටහනේ මූලාශ්රය සත්යාපනය කිරීමේ සහ ගොඩනැගීමේ ක්රියාවලිය සත්යාපනය කිරීමේ දුෂ්කරතාවයයි. උදාහරණයක් ලෙස, බොහෝ ව්යාපෘති නිකුතුවක අඛණ්ඩතාව සත්යාපනය කිරීමට හැෂ් භාවිතා කරයි, නමුත් බොහෝ විට සත්යාපනය සඳහා අවශ්ය තොරතුරු අනාරක්ෂිත පද්ධතිවල සහ හවුල් කේත ගබඩාවල ගබඩා වේ, එහි ප්රතිඵලයක් ලෙස ප්රහාරකයන්ට සත්යාපනය සඳහා අවශ්ය ගොනු සම්මුතියකට ගෙන ද්වේෂ සහගත වෙනස්කම් හඳුන්වා දිය හැකිය. සැකයක් ඇති කර නොගෙන.
යතුරු කළමනාකරණය, පොදු යතුරු බෙදා හැරීම සහ සම්මුතිගත යතුරු අවලංගු කිරීමේ දුෂ්කරතා හේතුවෙන් නිකුතු බෙදා හැරීමේදී ව්යාපෘතිවල කුඩා ප්රතිශතයක් පමණක් ඩිජිටල් අත්සන් භාවිතා කරයි. සත්යාපනය අර්ථවත් කිරීම සඳහා, පොදු යතුරු සහ චෙක්සම් බෙදා හැරීම සඳහා විශ්වාසදායක සහ ආරක්ෂිත ක්රියාවලියක් සංවිධානය කිරීම ද අවශ්ය වේ. ඩිජිටල් අත්සනක් සමඟ වුවද, බොහෝ පරිශීලකයින් සත්යාපනය නොසලකා හරිනු ලබන්නේ සත්යාපන ක්රියාවලිය අධ්යයනය කිරීමට සහ කුමන යතුර විශ්වාස කළ යුතුද යන්න තේරුම් ගැනීමට ඔවුන්ට කාලය ගත කිරීමට අවශ්ය බැවිනි.
Sigstore කේතය සඳහා සංකේතනය කරමු, ඩිජිටල් ලෙස අත්සන් කිරීමේ කේතය සඳහා සහතික සහ සත්යාපනය ස්වයංක්රීය කිරීම සඳහා මෙවලම් සැපයීමට සමාන ලෙස හුවා දක්වයි. සිග්ස්ටෝර් සමඟින්, සංවර්ධකයින්ට මුදා හැරීමේ ගොනු, බහාලුම් රූප, මැනිෆෙස්ට සහ ක්රියාත්මක කළ හැකි වැනි යෙදුම් ආශ්රිත පුරාවස්තු ඩිජිටල් ලෙස අත්සන් කළ හැක. Sigstore හි විශේෂ ලක්ෂණයක් නම්, අත්සන් කිරීම සඳහා භාවිතා කරන ද්රව්ය සත්යාපනය සහ විගණනය සඳහා භාවිතා කළ හැකි හානියට පත් නොවන පොදු ලොගයක පිළිබිඹු වීමයි.
ස්ථිර යතුරු වෙනුවට, Sigstore කෙටි කාලීන එෆීමර් යතුරු භාවිතා කරයි, ඒවා OpenID Connect සපයන්නන් විසින් තහවුරු කරන ලද අක්තපත්ර මත පදනම්ව ජනනය කෙරේ (ඩිජිටල් අත්සනක් සඳහා යතුරු ජනනය කරන අවස්ථාවේදී, සංවර්ධකයා ඊමේල් එකකට සම්බන්ධ OpenID සපයන්නා හරහා තමා හඳුනා ගනී). යතුරුවල සත්යතාව පොදු මධ්යගත ලොගයක් භාවිතයෙන් සත්යාපනය කරනු ලැබේ, එමඟින් අත්සනෙහි කතුවරයා හරියටම ඔහු යැයි කියනු ලබන අතර අත්සන සෑදී ඇත්තේ අතීත නිකුතු සඳහා වගකිව යුතු එකම සහභාගිවන්නා විසින් බව තහවුරු කර ගත හැකිය.
Sigstore ඔබට දැනටමත් භාවිතා කළ හැකි සූදානම් කළ සේවාවක් සහ ඔබේම උපකරණ මත සමාන සේවාවන් යෙදවීමට ඔබට ඉඩ සලසන මෙවලම් කට්ටලයක් සපයයි. මෙම සේවාව සියලුම සංවර්ධකයින් සහ මෘදුකාංග සපයන්නන් සඳහා නොමිලේ වන අතර, මධ්යස්ථ වේදිකාවක් මත යොදවා ඇත - Linux පදනම. සේවාවේ සියලුම සංරචක විවෘත මූලාශ්ර, Go හි ලියා Apache 2.0 බලපත්රය යටතේ බෙදා හරිනු ලැබේ.
සංවර්ධිත සංරචක අතර අපට සටහන් කළ හැකිය:
- Rekor යනු ව්යාපෘති පිළිබඳ තොරතුරු පිළිබිඹු කරන ඩිජිටල් ලෙස අත්සන් කරන ලද පාර-දත්ත ගබඩා කිරීම සඳහා ලොග් ක්රියාත්මක කිරීමකි. අඛණ්ඩතාව සහතික කිරීම සහ දත්ත දූෂණයෙන් පසුව ආරක්ෂා කිරීම සඳහා, ගස් වැනි ව්යුහයක් "Merkle Tree" භාවිතා කරනු ලැබේ, එහි එක් එක් ශාඛාව ඒකාබද්ධ (ගස වැනි) හැෂිං වලට ස්තූතිවන්ත වන පරිදි යටින් පවතින සියලුම ශාඛා සහ නෝඩ් සත්යාපනය කරයි. අවසාන හැෂ් තිබීම, පරිශීලකයාට සමස්ත මෙහෙයුම් ඉතිහාසයේ නිවැරදිභාවය මෙන්ම දත්ත සමුදායේ අතීත තත්වයන් වල නිවැරදි බව සත්යාපනය කළ හැකිය (දත්ත සමුදායේ නව තත්වයේ මූල සත්යාපන හැෂ් පසුගිය තත්වය සැලකිල්ලට ගනිමින් ගණනය කෙරේ. ) සත්යාපනය කිරීමට සහ නව වාර්තා එකතු කිරීමට, Restful API එකක් මෙන්ම cli අතුරු මුහුණතක් ද සපයනු ලැබේ.
- Fulcio (SigStore WebPKI) යනු OpenID Connect හරහා සත්යාපනය කරන ලද විද්යුත් තැපෑල මත පදනම්ව කෙටි කාලීන සහතික නිකුත් කරන සහතික කිරීමේ අධිකාරීන් (Root-CAs) නිර්මාණය කිරීමේ පද්ධතියකි. සහතිකයේ ආයු කාලය මිනිත්තු 20 ක් වන අතර, එම කාලය තුළ සංවර්ධකයාට ඩිජිටල් අත්සනක් ජනනය කිරීමට කාලය තිබිය යුතුය (සහතිකය පසුව ප්රහාරකයෙකු අතට පත් වුවහොත්, එය දැනටමත් කල් ඉකුත් වනු ඇත).
- Сosign (Container Signing) යනු බහාලුම් සඳහා අත්සන් උත්පාදනය කිරීම, අත්සන් තහවුරු කිරීම සහ OCI (විවෘත බහාලුම් මුලපිරීම) සමඟ අනුකූල ගබඩාවල අත්සන් කරන ලද බහාලුම් තැබීම සඳහා වූ මෙවලම් කට්ටලයකි.
මූලාශ්රය: opennet.ru